Même l’iPhone, réputé pour sa sécurité, n’est pas à l’abri des failles. Le Google Project Zero, division de Google spécialisée dans la recherche d’importantes failles de sécurité, a trouvé un moyen de contourner les défenses du smartphone d’Apple. Avec pour seule information un identifiant Apple (soit un email ou un téléphone), le laboratoire est parvenu à hacker à distance le smartphone. Grâce à l’exploitation de la faille, elle pouvait exfiltrer toutes sortes de données : fichiers, mots de passes, codes pour la double authentification, SMS, email…
Et ce n’est pas tout : la faille permettrait aussi d’activer micro et caméra de l’appareil en toute discrétion. Pour ne rien gâcher, elle rentrait dans la dangereuse catégorie des zéro-clic : un hacker aurait pu l’exploiter sans que l’utilisateur n’effectue d’action (comme cliquer sur un lien ou ouvrir une application) et qu’il ne reçoive de notification.
Samuel Groß, du Project Zero, détaille dans un long article de blog en trois parties comment il est parvenu à réaliser le hack, à partir d’une unique vulnérabilité liée à la mémoire de l’appareil. Celle-ci permettait de passer par la fonction qui distribue les accusés de réception sur iMessages (et indique “envoyé” ou “lu”) pour accéder au smartphone.
Une faille colmatée avant d’être exploitée
Dès le 26 août, Apple, averti par Google un mois plus tôt, avait neutralisé la vulnérabilité, avant de la résoudre pour de bon fin octobre. Les utilisateurs d’iPhone ne sont donc plus concernés, à condition d’être à jour dans la mise à jour d’iOS, le système d’exploitation de l’appareil. Si Project Zero a découvert cette vulnérabilité, cela ne signifie pas que des hackers l’ont également trouvée. Elle a peut-être pu être réparée avant d’être exploitée par des organisations malveillantes.
Google a découvert en premier la faille
Elle est un exemple classique des opération de Google Project Zero. Cette division a pour mission de devancer les hackers malveillants. L’équipe de recherche se consacre à la découverte d’importantes vulnérabilités 0-day, c’est-à-dire de vulnérabilité inconnues jusque-là. Le groupe de chercheurs pousse ses travaux jusqu’à la réalisation d’un prototype d’exploitation de la faille. Il contacte ensuite l’entreprise concernée, et leur indique le problème, et certains moyens de le résoudre. Pour finir, il documente publiquement la procédure de résolution de la faille.
Si le groupe publie ensuite publiquement la procédure qui lui a permis de hacker l’iPhone, c’est parce qu’il considère que sa méthode a déjà été assimilée par les hackers et n’est donc plus une nouveauté ou un moyen de contourner les protections. Les hackers peuvent, par exemple, apprendre comment exploiter une faille à partir des détails du patch qui l’a réparée.
Apple régulièrement visé par Project Zero
La division de cybersécurité Project Zero se penche régulièrement sur la sécurité d’iOS, le système d’exploitation des iPhone. En juillet, elle révélait une faille qui permettrait désactiver les iPhone, et de forcer un redémarrage en usine, ainsi qu’une autre plus tôt dans l’année, qui permettait de lire les fichiers du smartphone. Il faut prendre compte qu’aucun système ne s’approche du risque zéro de faille de sécurité, et que ces vulnérabilités exposées par Google ne sont pas synonymes de mauvaise gestion de la sécurité.
Jusqu’à un million d’euros pour récompenser la détection de failles
Le plus souvent, les deux entreprises collaborent sans que leur concurrence sur le marché des smartphones n’entre en jeu. Mais en août, Apple avait critiqué publiquement une publication de Project Zero.
« L’article de Google, publié six mois après la sortie des patchs iOS, crée la fausse impression d’une “exploitation de masse” pour “surveiller les activités privées, en direct, de populations entières”, ce qui a créé de la peur auprès des utilisateurs d’iPhone, alors que leurs appareils n’ont jamais été compromis », écrivait le constructeur.
Les failles zéro-clic, comme celle exposée par Project Zero, sont particulièrement critiques. Les entreprises comme Apple ou Google récompensent les chercheurs capables de les relever avec des enveloppes pouvant atteindre le million de dollars en fonction de leur gravité.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !