Google permet à Apple de réparer une faille zéro-clic sur l'iPhone : de quoi s'agissait-il ?
Même l'iPhone, réputé pour sa sécurité, n'est pas à l'abri des failles.
Et ce n'est pas tout : la faille permettrait aussi d'activer micro et caméra de l’appareil en toute discrétion. Pour ne rien gâcher, elle rentrait dans la dangereuse catégorie des zéro-clic : un hacker aurait pu l'exploiter sans que l’utilisateur n’effectue d’action (comme cliquer sur un lien ou ouvrir une application) et qu'il ne reçoive de notification.
Samuel Groß, du Project Zero, détaille dans un long article de blog en trois parties comment il est parvenu à réaliser le hack, à partir d’une unique vulnérabilité liée à la mémoire de l’appareil. Celle-ci permettait de passer par la fonction qui distribue les accusés de réception sur iMessages (et indique “envoyé” ou “lu”) pour accéder au smartphone.
Une faille colmatée avant d'être exploitée
Dès le 26 août, Apple, averti par Google un mois plus tôt, avait neutralisé la vulnérabilité, avant de la résoudre pour de bon fin octobre. Les utilisateurs d’iPhone ne sont donc plus concernés, à condition d’être à jour dans la mise à jour d’iOS, le système d’exploitation de l’appareil. Si Project Zero a découvert cette vulnérabilité, cela ne signifie pas que des hackers l’ont également trouvée. Elle a peut-être pu être réparée avant d’être exploitée par des organisations malveillantes.
Elle est un exemple classique des opération de Google Project Zero. Cette division a pour mission de devancer les hackers malveillants. L'équipe de recherche se consacre à la découverte d'importantes vulnérabilités 0-day, c’est-à-dire de vulnérabilité inconnues jusque-là. Le groupe de chercheurs pousse ses travaux jusqu’à la réalisation d’un prototype d’exploitation de la faille. Il contacte ensuite l’entreprise concernée, et leur indique le problème, et certains moyens de le résoudre. Pour finir, il documente publiquement la procédure de résolution de la faille.
Si le groupe publie ensuite publiquement la procédure qui lui a permis de hacker l'iPhone, c'est parce qu'il considère que sa méthode a déjà été assimilée par les hackers et n'est donc plus une nouveauté ou un moyen de contourner les protections. Les hackers peuvent, par exemple, apprendre comment exploiter une faille à partir des détails du patch qui l'a réparée.
Apple régulièrement visé par Project Zero
La division de cybersécurité Project Zero se penche régulièrement sur la sécurité d’iOS, le système d'exploitation des iPhone. En juillet, elle révélait une faille qui permettrait désactiver les iPhone, et de forcer un redémarrage en usine, ainsi qu'une autre plus tôt dans l'année, qui permettait de lire les fichiers du smartphone. Il faut prendre compte qu'aucun système ne s'approche du risque zéro de faille de sécurité, et que ces vulnérabilités exposées par Google ne sont pas synonymes de mauvaise gestion de la sécurité.
Le plus souvent, les deux entreprises collaborent sans que leur concurrence sur le marché des smartphones n’entre en jeu. Mais en août, Apple avait critiqué publiquement une publication de Project Zero.
« L'article de Google, publié six mois après la sortie des patchs iOS, crée la fausse impression d’une “exploitation de masse” pour “surveiller les activités privées, en direct, de populations entières”, ce qui a créé de la peur auprès des utilisateurs d’iPhone, alors que leurs appareils n’ont jamais été compromis », écrivait le constructeur.
Les failles zéro-clic, comme celle exposée par Project Zero, sont particulièrement critiques. Les entreprises comme Apple ou Google récompensent les chercheurs capables de les relever avec des enveloppes pouvant atteindre le million de dollars en fonction de leur gravité.