Une faille critique de l’écosystème Apple est activement exploitée par des pirates. macOS, iOS, watchOS, tvOS et Safari sont concernés et se retrouvent dans le viseur des cybercriminels. Apple a corrigé la vulnérabilité, mais les appareils privés de mises à jour restent à la merci des hackers…
La CISA (Cybersecurity and Infrastructure Security Agency) met en garde les utilisateurs Apple. L’agence fédérale américaine chargée de la cybersécurité a découvert « des preuves » indiquant qu’une vulnérabilité au sein de macOS, iOS, tvOS, Safari, et de watchOS est activement exploitée dans le cadre de cyberattaques. Des hackers utilisent actuellement la brèche pour pirater des appareils Apple. La CISA a fait le même constat au sujet des ordinateurs sous Windows.
La faille se trouve dans JavaScriptCore, le moteur qui permet à Safari, et de nombreuses apps Apple, d’exécuter du code JavaScript. Il s’agit d’une faille d’exécution de code à distance. En exploitant la brèche, un attaquant est en mesure d’exécuter du code malveillant sur les appareils de la marque.
À lire aussi : Le nouveau Siri inquiéterait les employés Apple, l’assistant ne serait pas à la hauteur
Presque tout l’écosystème Apple
Pour arriver à ses fins, le pirate doit d’abord créer une page web malveillante, destinée à exécuter le code. Ensuite, il doit s’arranger pour que la cible ouvre cette page sur son iPhone, son Mac, sur son téléviseur connecté ou encore sur sa montre. Il peut la partager par mail ou par SMS. Une fois ouverte par la victime, la page va exploiter le bug pour que le moteur JavaScriptCore exécute du code malveillant.
C’est à ce moment-là que la cyberattaque permet au pirate de prendre le contrôle du système. Il peut donc voler des données, comme des mots de passe et des identifiants, ou installer des malwares, comme un ransomware. La faille touche macOS, iOS, tvOS, watchOS et Safari, c’est‑à‑dire pratiquement tout l’écosystème Apple. Elle est particulièrement critique parce qu’elle permet une compromission à distance, et nécessite peu d’actions de la part de la victime.
Une faille déjà corrigée… en 2023
Bonne nouvelle, Apple a corrigé le tir en 2023, peu après la découverte de la vulnérabilité. Apple a publié des correctifs de sécurité sur ses produits dès début 2023. Ces mises à jour ont notamment été intégrées dans iOS 16, macOS Ventura, et les itérations ultérieures.
Comme l’explique la CISA, des pirates exploitent désormais la faille en s’attaquant à des terminaux obsolètes, privés de mises à jour, ou aux utilisateurs qui négligent d’installer les correctifs de sécurité. Selon l’agence américaine, 20 % des attaques sur les plateformes Apple ciblent à présent les produits non mis à jour.
« Ce n’est pas simplement une relique du passé : des cybercriminels réutilisent d’anciens bugs pour attaquer des appareils qui ne sont plus à jour », déclare un porte-parole de la CISA.
C’est pourquoi la CISA demande à toutes les agences fédérales américaines d’installer les mises à jour sur leurs appareils. On vous recommande également d’installer les dernières mises à jour sur vos terminaux. Si votre appareil Apple peut encore recevoir des mises à jour, activez-les automatiquement.
Parmi les appareils obsolètes concernés, on trouve les iPhone 6s, les iPhone 7, les iPhone 8, les iPhone SE de première génération, les iPad sous iOS 15 ou antérieur, les iPod touch anciens modèles, les MacBook Air/Pro de 2015, les iMac 2015, les Mac mini 2014, les Apple TV de 3ᵉ génération ou antérieure, et les Apple Watch Series 3 ou plus anciennes. Ceux-ci ne peuvent plus recevoir de mises à jour. Ils resteront donc vulnérables, et dans le viseur des pirates qui exploitent la faille de JavaScriptCore.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google Actualités, abonnez-vous à notre canal WhatsApp ou suivez-nous en vidéo sur TikTok.
Source :
CISA.gov