Apple a annoncé, mercredi 17 août, avoir corrigé deux importantes failles de sécurité logicielles concernant les systèmes d’exploitation de ses appareils, à savoir l’iPhone, l’iPad et le Mac. Ces vulnérabilités, désignées sous les noms CVE-2022-32893 et CVE-2022-32894, touchaient deux composantes des logiciels d’Apple.
La première, WebKit, est la colonne vertébrale de Safari, le navigateur Web du concepteur. WebKit est également utilisé dans tous les navigateurs disponibles sur iOS, le système d’exploitation des iPhone. La faille permettait de déjouer la sécurité des navigateurs pour exécuter du code sur un appareil à l’insu de son utilisateur si celui-ci se rendait, par exemple, sur une page Web conçue par des pirates.
La deuxième faille permettait, elle, à une application d’effectuer des actions au niveau du kernel (ou « noyau »), une zone critique au fonctionnement d’un appareil dans laquelle s’établit le lien entre le matériel et les logiciels. En étant capables d’agir dans cette zone précise d’un téléphone ou d’un ordinateur, les pirates pouvaient donc prendre potentiellement le contrôle total des appareils.
Des failles vraisemblablement exploitées
Sans donner plus de détails, Apple a expliqué que ces deux vulnérabilités avaient probablement été exploitées par des acteurs non identifiés, c’est-à-dire des pirates cherchant à prendre le contrôle d’un ou plusieurs appareils.
Il est vraisemblable que ces deux failles de sécurité aient été utilisées de pair. Les pirates utilisent, en effet, souvent ce que l’on appelle des « chaînes d’exploitation », c’est-à-dire plusieurs vulnérabilités déclenchées à la suite pour attaquer un appareil. Par exemple, il serait possible ici d’exploiter la faille de WebKit en créant une page Web vérolée pour exécuter du code sur le téléphone d’une cible, puis de s’appuyer sur la deuxième vulnérabilité pour obtenir l’accès à l’intégralité de l’appareil.
Les constructeurs comme Apple découvrent et corrigent régulièrement des failles de sécurité de gravité variable concernant leurs produits. Des groupes aussi bien étatiques, criminels et privés cherchent constamment à découvrir de nouvelles façons de contourner les protections mises en place par les groupes majeurs du secteur de l’informatique, et il existe même un marché sur lequel se vendent ces failles dites « zero day », des vulnérabilités qui n’ont pas encore été corrigées et sont donc exploitables.