Des hackers ont utilisé des emails pour pirater les iPhone à distance, sans que les victimes aient à cliquer sur quoi que ce soit. L’entreprise de cybersécurité ZecOps a annoncé le 22 avril 2020 qu’elle avait découvert des tentatives d’exploitation d’une vulnérabilité d’iOS, le système d’exploitation mobile des iPhone. Le piratage fonctionne sur toutes les versions du logiciel, au moins à partir d’iOS 6, et les chercheurs ont relevé des traces de son usage dès janvier 2018. « Une utilisation réussie de cette vulnérabilité permettrait à l’assaillant d’extraire, modifier ou supprimer des emails », préviennent les experts. La vulnérabilité seule ne permet donc pas de prendre le contrôle de l’appareil, mais les chercheurs expliquent qu’elle peut être combinée à d’autres failles pour permettre d’exécuter du code à distance sur le smartphone.
Pour parvenir à leurs fins, les hackers envoient un email créé spécialement pour exploiter la faille, qui va surcharger la mémoire du téléphone. Il pourrait passer inaperçu, car il a pour seuls effets de ralentir temporairement le smartphone et d’éventuellement faire crasher l’app Mail. Sur iOS 13, le hack se déclenche lorsque les cibles reçoivent l’email. Sur iOS 12 et antérieur, il faut que la victime ouvre l’email dans l’application native « Mail » préinstallée sur les iPhone. Le hack ne fonctionne pas sur les autres applications d’email comme Gmail.
Au lendemain de la publication du rapport de FireEye, Apple a pris la parole pour rassurer ses clients, et contredire FireEye qui affirme que la vulnérabilité a été exploitée au moins six fois. « Nous avons étudié en profondeur le rapport du chercheur et, sur la base des informations fournies, nous avons conclu que ces problèmes ne posaient pas de risque immédiat pour nos utilisateurs », a déclaré le géant américain. «Le chercheur a identifié trois problèmes dans Mail, mais à eux seuls, ils sont insuffisants pour contourner les protections de sécurité de l’iPhone et de l’iPad, et nous n’avons trouvé aucune preuve qu’ils ont été utilisés contre des clients. »
Les hackers ne visent que des profils à haut intérêt stratégique
« Nous soupçonnons les assaillants d’exploiter une autre vulnérabilité en même temps. C’est en cours d’enquête », a précisé ZecOps. L’exploitation d’une autre faille dans les basses couches logicielles d’iOS serait nécessaire pour faire aboutir le piratage.
Il s’agit donc d’un piratage complexe à mettre en place, qui n’est pas utilisé pour viser le grand public. Parmi les victimes identifiées, ZecOps liste des employés d’une grande entreprise américaine, un journaliste en Europe, une célébrité allemande ou encore un dirigeant d’entreprise au Japon. En tout, l’entreprise comptabilise 6 organisations victimes. « Nous pensons que ces attaques sont liées à au moins un opérateur soutenu par un État, ou un État même qui aurait acheté le hack à un parti tiers », suggère-t-elle.
En attendant le patch définitif, utilisez un autre client email
Apple a été averti le 19 février, et a déjà déployé un prépatch pour réparer la vulnérabilité le 15 avril. Le groupe californien travaille encore sur une version définitive, qui devrait être prête prochainement. Pendant ce temps, ZecOps a identifié des tentatives d’exploitation de la faille. En attendant que le patch officiel soit déployé, l’entreprise de cybersécurité conseille de désactiver Apple Mail et d’utiliser un autre client pour lire ses mails (Gmail, Outlook…).
ZecOps insiste pour rassurer le grand public : ces vulnérabilités seules ne peuvent pas causer dommages aux utilisateurs d’iOS, puisque les pirates ont besoin d’exploiter deux autres bugs pour prendre le contrôle complet de l’appareil ciblé. Une tâche extrêmement complexe qui ne sera rentable que pour des cibles très stratégiques.
Article mis à jour le 24 avril à 10h00 avec la déclaration d’Apple.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.