Début février, Apple corrigeait discrètement une faille de sécurité qui a permis à des pirates de pénétrer par effraction dans les iPhone de deux journalistes européens.
Aucun appareil électronique n’est immunisé contre les malwares : ils trouveront toujours un moyen de s’infiltrer en exploitant une faille de sécurité. Ce que les constructeurs peuvent faire, c’est de livrer régulièrement des mises à jour de leurs applications et de leurs systèmes d’exploitation pour boucher les trous… et espérer qu’une vulnérabilité n’a pas été utilisée activement avant le patch.
Messages piégés
Apple, comme tous les autres fabricants, joue à ce jeu du chat et de la souris. Le 10 février, l’entreprise livrait iOS 18.3.1, qui à l’origine ne contenait qu’un correctif — certes important, puisqu’il concerne une faille « « zero day », c’est à dire exploitée par des pirates avant la livraison du patch.
La fiche a été mise à jour avec un second correctif : une autre faille « zero day »concernant l’app Messages. Une image ou une vidéo partagée dans l’application via un lien iCloud pouvait permettre à un attaquant de pénétrer par effraction dans un iPhone. Apple précise dans le document que la vulnérabilité a été exploitée « d’une manière extrêmement sophistiquée » pour cibler des individus.
On ignore pourquoi Apple n’a pas révélé l’existence de ce correctif au moment de la mise en ligne d’iOS 18.3.1. Les spécialistes en sécurité de Citizen Lab expliquent que la faille a été utilisée contre Ciro Pellegrino, un journaliste italien, ainsi qu’un autre journaliste européen. Tous deux ont été prévenus par Apple à la toute fin du mois d’avril que leurs iPhone avaient été visés par une attaque, en compagnie d’une centaine d’autres utilisateurs.
Lire Apple alerte des utilisateurs de la présence d’un logiciel espion dans leur iPhone
Les deux journalistes ont été victimes du logiciel espion Paragon, découvert en début d’année lorsque WhatsApp a alerté ses utilisateurs de l’existence de ce malware.
Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
CitizenLab