Apple diffuse une série de mises à jour pour ses systèmes d’exploitation. iOS 16.5.1, iPadOS 16.5.1, macOS Ventura 13.4.1 et watchOS 9.5.2 ont pour point commun de corriger une vulnérabilité de sécurité CVE-2023-32434.
La correction concerne également les mises à jour iOS 15.7.7, iPadOS 15.7.7, macOS Monterey 12.6.7, macOS Big Sur 11.7.8 et watchOS 8.8.1, sachant qu’iOS 15.7.7 et iPadOS 15.7.7 ajoutent le comblement d’une faille CVE-2023-32435.
Ces deux vulnérabilités ont été signalées à Apple par des chercheurs en sécurité de Kaspersky. Elles sont décrites comme des vulnérabilités affectant le noyau (kernel) et le moteur de rendu WebKit. Apple souligne une exploitation active sur des versions d’iOS antérieures à iOS 15.7 (et avant la disponibilité des correctifs).
Une opération de cyberespionnage
En début de mois, Kaspersky a alerté sur la découverte d’une cyberattaque de haut niveau s’appuyant sur des exploits de type zéro-clic (sans une interaction de l’utilisateur) transmis par iMessage, afin d’installer des malwares et prendre le contrôle total d’un appareil.
Des employés de Kaspersky ont eux-mêmes été les victimes de la campagne d’attaque et opération baptisée Triangulation. Toutefois, Kaspersky souligne une portée de l’attaque qui va au-delà de son propre cas et pour la prolifération d’un spyware à l’échelle mondiale. Elle aurait débuté en 2019.
» L’implant TriangleDB est déployé après que les attaquants ont obtenu les privilèges root sur l’appareil iOS cible en exploitant une vulnérabilité du noyau. Il est déployé dans la mémoire, ce qui signifie que toutes les traces de l’implant sont perdues lorsque l’appareil est redémarré « , explique Kaspersky.
» Si la victime redémarre son appareil, les attaquants doivent le réinfecter en envoyant un iMessage avec une pièce jointe malveillante, lançant ainsi à nouveau toute la chaîne d’exploitation. Si aucun démarrage n’a lieu, l’implant se désinstalle après 30 jours, sauf prolongation par les attaquants. «
Apple a dû démentir une porte dérobée
Après le rapport de Kaspersky, les agences russes de renseignement et de sécurité ont pointé du doigt l’Agence de sécurité nationale des États-Unis (NSA) et une backdoor mise en place par Apple, pour faciliter l’infection d’iPhone en Russie par un spyware. Apple a évidemment démenti avec fermeté.
» Nous n’avons jamais collaboré avec un gouvernement pour insérer une backdoor dans un produit Apple et nous ne le ferons jamais « , avait réagi le groupe de Cupertino dans une réponse obtenue par BleepingComputer.
Hormis les vulnérabilités de sécurité CVE-2023-32434 et CVE-2023-32435, Apple corrige également une autre vulnérabilité 0-day. Affectant WebKit, la vulnérabilité CVE-2023-32439 (qui concerne des systèmes d’exploitation anciens et récents) a été signalée par un chercheur en sécurité anonyme.