Skip to main content

Les chercheurs de Google Project Zero ont découvert ce qui pourrait être l’une des plus grandes attaques jamais perpétrée contre les utilisateurs d’iPhone.

Les chercheurs en sécurité travaillant dans l’équipe Project Zero de Google déclarent avoir découvert un certain nombre de sites Web piratés qui utilisaient des failles de sécurité inconnues jusqu’à présent pour attaquer les iPhone des visiteurs. Le site Motherboard rapporte que l’attaque pourrait être l’une des plus importantes jamais menées contre les utilisateurs d’iPhone. Si un utilisateur visitait l’un des sites Web malveillants à l’aide d’un appareil vulnérable, ses fichiers personnels, ses messages et ses données de localisation en temps réel pouvaient être compromis. Après avoir signalé leurs découvertes à Apple, la firme de Cupertino a corrigé les vulnérabilités plus tôt cette année.

Motherboard note que l’attaque aurait pu permettre aux sites d’installer un logiciel espion avec un accès à la keychain de l’appareil. Les attaquants avaient ainsi accès aux informations d’identification ou aux certificats qu’ils contiennent, mais pouvaient également leur permettre d’accéder aux bases de données d’applications de messagerie apparemment sécurisées telles que WhatsApp et iMessage. Malgré ces applications utilisant un cryptage de bout en bout pour le transfert des messages, si un périphérique final était compromis par cette attaque, un attaquant pourrait alors accéder aux messages cryptés précédemment en texte brut.

L’attaque est remarquable en raison de son caractère aveugle. Motherboard note que les autres attaques sont généralement plus ciblées, des liens individuels étant envoyés aux cibles. Dans ce cas précis, le simple fait de visiter un site malveillant pouvait suffire à être attaqué et avoir un logiciel espion sur son smartphone. Les chercheurs estiment que les sites compromis ont été visités par des milliers de visiteurs chaque semaine.

Le logiciel espion installé par les sites malveillants était supprimé si un utilisateur redémarrait son téléphone. Cependant, les chercheurs disent que puisque l’attaque compromet la keychain d’un dispositif, les attaquants pouvaient accéder aux tokens d’authentification qu’il contient et les utiliser pour conserver l’accès aux comptes et aux services longtemps après la disparition du logiciel d’un dispositif compromis.

Au total, les chercheurs déclarent avoir découvert 14 vulnérabilités sur cinq chaînes d’exploitations différentes, dont une non corrigée au moment où elles l’ont découverte. Les vulnérabilités ont été affectées par les vulnérabilités des versions iOS 10 à 12, ce qui, selon les chercheurs, indique que les attaquants ont tenté de pirater des utilisateurs pendant au moins deux ans.

L’équipe a indiqué avoir contacté Apple pour signaler la vulnérabilité en février, et ne lui donner que sept jours pour la corriger. TechCrunch note qu’il s’agit d’un délai beaucoup plus court que le délai typique de 90 jours généralement accordé par les chercheurs et qu’il reflète probablement la gravité des vulnérabilités. Apple a corrigé les vulnérabilités avec iOS 12.1.4, la même mise à jour qui corrigeait une faille de sécurité majeure de FaceTime.

Bien que les vulnérabilités aient été corrigées, les chercheurs ont noté qu’il y en aurait probablement plus à découvrir. « Pour cette campagne que nous avons vue, il y en a presque certainement d’autres qui restent à voir », écrivent-ils. Vous pouvez trouver tous les détails sur les exploits surs le blog des chercheurs.