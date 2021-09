Apple travaille dur et dépense une tonne de ressources pour renforcer la sécurité de l’iPhone. Pourtant, il est indéniable que la sécurité des appareils mobiles est souvent un jeu du chat et de la souris, les ingénieurs en sécurité d’Apple répondant souvent aux failles de sécurité nouvellement découvertes et aux exploits zero-day au fur et à mesure qu’ils surviennent.

Ainsi, alors qu’Apple publie régulièrement des mises à jour de sécurité iOS, la sortie d’iOS 14.8 il y a environ une semaine est unique. La mise à jour iOS 14.8 corrige une vulnérabilité de sécurité qui permettrait à un acteur malveillant d’avoir un accès complet à tout sur votre téléphone. Qu’il suffise de dire que si vous utilisez toujours une ancienne version d’iOS 14, vous devez immédiatement mettre à jour vers iOS 15.

Un exploit de sécurité iPhone sophistiqué

L’exploit en question proviendrait du groupe NSO, une organisation responsable de certains des logiciels espions pour iPhone les plus avancés et les plus sophistiqués jamais créés. L’exploit lui-même peut facilement infecter les iPhones, iPads, Macs et même les montres Apple. Le logiciel espion est connu sous le nom de Pegasus, mais les chercheurs en sécurité l’appellent FORCEDENTRY.

Une fois que le logiciel espion infecte un appareil, il garde un œil sur tout. Pegasus peut surveiller toutes sortes de données. Cette liste comprend les appels téléphoniques, l’historique du navigateur, les photos, les e-mails et les messages envoyés et reçus par SMS, Facebook, WhatsApp. Le logiciel espion peut également suivre votre position et activer votre microphone pour l’enregistrement.

Comment le logiciel espion se propage

Les versions précédentes de Pegasus du groupe NSO nécessitaient qu’une cible clique sur un lien. La dernière version, cependant, est beaucoup plus sophistiquée. L’incarnation actuelle de Pegasus peut infecter un appareil sans aucune action de la cible.

Le New York Times révèle qu’un vecteur d’attaque impliquait simplement d’envoyer une photo à une cible. Cette photo a ensuite profité de “la façon dont Apple traite les images et a permis au logiciel espion Pegasus d’être téléchargé discrètement sur les appareils Apple”.

Le rapport de sécurité complet de Citizen Lab concernant Pegasus est consultable ici.

Le programme de primes aux bugs iPhone d’Apple

Sur une note connexe, il convient de mentionner que certains chercheurs en sécurité ne sont pas satisfaits du problème de bug bounty d’Apple. Selon certains chercheurs en sécurité, Apple ne paie pas toujours ce qu’il doit. De plus, certains employés d’Apple ont déclaré qu’il y avait un arriéré de bogues qu’Apple devait passer au crible.

Le Washington Post rapporte que « la culture insulaire d’Apple a nui au programme et créé un angle mort en matière de sécurité ».

Il est assez courant que les entreprises technologiques paient des chercheurs qui découvrent des failles de sécurité. Le programme de bug bounty d’Apple, cependant, n’a commencé qu’il y a quelques années. De plus, les niveaux de paiement chez Apple sont inférieurs à ceux d’autres entreprises technologiques.