Apple a publié le 7 août sur son site des mises à jour logicielles pour corriger deux vulnérabilités de type « zero day », c’est-à-dire dont personne ne soupçonnait l’existence. Ces failles majeures permettaient à des attaquants d’exploiter du code depuis une image ou l’appli Cartes (Wallet) et donc s’infiltrer dans l’appareil.
Selon les chercheurs en cybersécurité du Citizen Lab de l’Université de Toronto, ces vulnérabilités étaient utilisées par le fameux logiciel espion Pegasus, vendu par le NSO, et qui donne un accès illégitime à l’iPhone. Un smartphone sous iOS 16.6 pouvait être compromis sans aucune interaction de l’utilisateur.
Les versions iOS 16.6.1, iPadOS 16.6.1 et macOS 13.5.2 apportent donc des correctifs majeurs et doivent être installées au plus vite par les utilisateurs. Il semble que les personnes utilisant le mode de protection extrême de l’iPhone, appelé mode Lockdown, bénéficiaient d’une couche de protection suffisante pour résister à une telle attaque.
Comment installer la mise à jour sur iPhone
- Rendez-vous sur « Réglages », cliquez sur l’onglet « Général » puis « Mise à jour logicielle ».
- Appuyez sur Installer maintenant et suivez les instructions à l’écran.
- Attendez que la mise à jour soit téléchargée et installée.
- Redémarrez votre iPhone.
Une faille activement exploitée sur l’iPhone
Citizen Lab a découvert ces vulnérabilités en vérifiant l’appareil d’une personne employée à Washington et disposant de bureaux internationaux. Cette faille était utilisée pour diffuser le logiciel espion mercenaire Pegasus de NSO. Dans les deux cas, Apple a déclaré être « au courant d’un rapport indiquant que ce problème pourrait avoir été activement exploité ». Apple n’a pas souhaité faire d’autres commentaires.
Citizen Lab a déclaré qu’il avait « immédiatement communiqué ses conclusions à Apple et l’avait aidé dans son enquête ».
Depuis son développement en 2011, Pegasus s’est répandu à travers le monde entier, le plus souvent par des gouvernements cherchant à espionner leurs citoyens. Il a été utilisé pour cibler le journaliste saoudien assassiné Jamal Khashoggi, des membres du mouvement indépendantiste catalan ou encore des enquêteurs des droits de l’homme au Mexique. D’autres logiciels espions sont encore en circulation et peuvent profiter de ces failles.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !