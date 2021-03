Apple a publié vendredi deux mises à jour inattendues d’iOS, dont iOS 14.4.2 et iOS 12.5.2, expliquant à l’époque que les mises à jour comprenaient «des mises à jour de sécurité importantes et sont recommandées pour tous les utilisateurs» plutôt que de nouvelles fonctionnalités majeures. Le fait qu’Apple ait publié deux versions iOS distinctes a encore renforcé l’idée que la mise à jour corrigeait certains problèmes de sécurité. En effet, la mise à jour est également destinée à desservir les appareils iOS qui ne peuvent pas exécuter iOS 14, la dernière version logicielle pour iPhone et iPad. iOS 12.5.2 fonctionnera sur les anciens iPhones et iPads qui n’ont jamais fait le saut vers iOS 13 et iOS 14.

Depuis lors, nous avons appris exactement quel type de vulnérabilité Apple a corrigé. C’est le genre d’attaque logicielle sophistiquée qui utilise des problèmes de code jusque-là inconnus, des vulnérabilités zero-day, que certains États-nations pourraient utiliser dans leurs cyberopérations. Cette attaque particulière provenait d’un allié américain et était une opération antiterroriste que Google a déjouée. Mais les vulnérabilités de sécurité identifiées par Google corrigent des problèmes logiciels que des pirates malveillants auraient pu découvrir et utiliser.

Apple a expliqué dans un document d’assistance qu’iOS 14.4.2 et iPadOS 14.4.2 résolvent un problème WebKit. WebKit alimente Safari et d’autres navigateurs Internet disponibles sur iPhone et iPad. Apple a décrit le problème logiciel comme suit, indiquant que le problème peut être activement exploité:

Conséquence: le traitement de contenu Web malveillant peut conduire à des scripts intersites universels. Apple a connaissance d’un rapport selon lequel ce problème pourrait avoir été activement exploité.

Le problème WebKit fait partie d’une attaque complexe impliquant 11 hacks zero-day différents affectant les appareils iOS, Android et Windows. L’équipe de sécurité Project Zero de Google a d’abord détaillé le problème au début du mois de janvier, puis en a suivi à la mi-mars. Les failles de sécurité étaient utilisées depuis février 2020, selon les experts de Google. Les chercheurs ont souligné la sophistication et la rapidité de l’attaquant, mais n’ont pas détaillé son identité.

Un rapport du MIT Technology Review a déclaré que le piratage que Google avait trouvé était en fait une opération de contre-terrorisme d’un allié américain non spécifié.

Le rapport a également affirmé que la découverte des 11 bogues zero-day a déclenché un débat au sein de Google, qui aurait pu savoir qui étaient les pirates et quelle était l’opération. Certains employés de Google ont fait valoir que les opérations de lutte contre le terrorisme ne devraient pas être divulguées au public, tandis que d’autres ont déclaré que Google était dans ses droits.

« Project Zero est dédié à la recherche et à la correction des vulnérabilités zero-day et à la publication de recherches techniques conçues pour faire progresser la compréhension des nouvelles vulnérabilités de sécurité et des techniques d’exploitation dans la communauté de recherche », a déclaré Google dans un communiqué. «Nous pensons que le partage de cette recherche conduit à de meilleures stratégies défensives et augmente la sécurité pour tous. Nous n’effectuons pas d’attribution dans le cadre de cette recherche. «

Les pirates ont utilisé des techniques dites de «trou d’eau» pour injecter du code malveillant dans des sites Web inconnus, qui fourniraient ensuite la charge utile via Chrome et Safari aux appareils ciblés. Si le rapport MIT Technology Review est exact, alors les espions occidentaux ciblaient probablement des catégories spécifiques de personnes, visitant des sites particuliers. Mais maintenant que les vulnérabilités ont été révélées, elles restent un risque pour tous les utilisateurs d’iPhone, d’Android et de Windows, car d’autres pirates pourraient tenter d’en profiter. C’est pourquoi il est essentiel de mettre à jour tous vos appareils avec les dernières versions logicielles le plus rapidement possible. iOS 14.4.2 et iOS 12.5.2 couvriront la plupart des iPhones et iPads actuellement utilisés. Les utilisateurs d’Android et de Windows doivent également installer les mises à jour de sécurité dès qu’elles sont disponibles.

