iPhone et iOS : les vulnérabilités de Google Project Zero étaient vraiment critiques

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités iPhone et iOS : les vulnérabilités de Google Project Zero étaient vraiment critiques

Publié le 31 juillet 2019 à 16:40 par Jérôme G.

Lire sur mobile

Des hackers d'élite de Project Zero de Google ont manifestement fait de grosses trouvailles pour attaquer à distance des appareils iOS en envoyant un iMessage piégé.

La semaine dernière, Apple a diffusé des mises à jour pour ses divers systèmes d'exploitation. Cela a par exemple été le cas avec iOS 12.4, y compris pour les habituelles corrections de sécurité. Comme à chaque fois dans ses notes de version, Apple a été discret sur la dangerosité effective des vulnérabilités.

Plusieurs failles avaient été rapportées par des membres de Project Zero de Google. Notamment connue pour la découverte d'une vulnérabilité critique qui affectait WhatsApp, Natalie Silvanovich a indiqué en début de semaine que cinq bugs de sécurité dans iMessage (intégré dans iOS) viennent d'être divulgués en vertu de la politique de Project Zero.

La chercheuse en sécurité avait découvert ces vulnérabilités avec Samuel Groß. Elle souligne la possibilité pour un attaquant distant de cibler un iPhone via l'envoi d'un iMessage spécialement conçu, et pour une exploitation sans interaction de l'utilisateur.

Today, @5aelo and I unrestricted five bugs in iMessage! Here are some highlights:
— Natalie Silvanovich (@natashenka) 29 juillet 2019

Pour se convaincre de la dangerosité des failles, il suffit de lire un avant-goût de ce que Natalie Silvanovich va présenter lors de la prochaine conférence Black Hat à Las Vegas.

" Il y a eu des rumeurs de vulnérabilités à distance ne nécessitant aucune interaction de l'utilisateur pour attaquer l'iPhone, mais peu d'informations sont disponibles sur les aspects techniques de ces attaques sur les appareils modernes. Cette présentation explore la surface d'attaque à distance, sans interaction, d'iOS. Elle traite des vulnérabilités potentielles des SMS, MMS, la messagerie vocale visuelle, iMessage et Mail. […] Elle comprend également deux exemples de vulnérabilités. "

De telles vulnérabilités pourraient se négocier à prix d'or pour des chercheurs en sécurité moins scrupuleux. C'est un point sur lequel il ne faut guère se bercer d'illusions...

We are withholding CVE-2019-8641 until its deadline because the fix in the advisory did not resolve the vulnerability
— Natalie Silvanovich (@natashenka) 29 juillet 2019

La chercheuse de Project Zero ajoute par ailleurs qu'une vulnérabilité n'a pas été divulguée dans la mesure où la correction apportée par Apple n'est pas satisfaisante. Quoi qu'il en soit, la mise à jour iOS 12.4 est plus que conseillée et pas seulement pour corriger la vulnérabilité d'espionnage avec le mode talkie-walkie de l'Apple Watch.