iOS : 5 failles de sécurité critiques ont été découvertes sur les iPhone

Google Project Zero vient de dévoiler 4 mises en pratiques de 5 failles critiques découvertes récemment sur iOS. Celles-ci permettent de pirater des iPhone à distance en envoyant un simple message via iMessage. Apple a été alerté du problème en amont et propose un patch de sécurité dans sa dernière mise à jour iOS 12.4. 

iPhone failles critiques

Les failles de sécurité n’existent pas que sur les smartphones Android – elles existent sur tout types d’appareils, y compris les iPhone dont le marketing d’Apple exagère souvent la sécurité. Bien sûr, en disant cela, on oublie un aspect essentiel : ce n’est pas vraiment le fait qu’il y ait des failles qui pose problème. Ce qui compte, c’est surtout qu’elles soient rapidement corrigées. Et de ce point de vue, les iPhone ont un avantage énorme sur les smartphones Android : ils reçoivent les mises à jour d’iOS immédiatement, dès que ces dernières sont disponibles. Alors que sur Android, c’est au bon vouloir des constructeurs.

Les failles de sécurité critiques touchent aussi les iPhone, mais ils sont très vite patchés…

Ce qui n’enlève rien au fait que les experts du Google Project Zero en ont trouvé une belle brochette dernièrement sur iOS. Car ce ne sont pas des petites failles : on parle de failles critiques qui permettent à un attaquant de prendre le contrôle total d’un appareil et d’ex filtrer des données, sans que l’utilisateur ne doive pour cela ouvrir quoi que ce soit. Il y a en tout cinq failles – dont une (CVE-2019-8641) reste pour le moment privée le temps que Apple achève de la patcher. Les quatre autres failles ont toutes été corrigées avant publication par les équipes d’Apple, prévenues en amont par les chercheurs de Project Zero. Toutes concernent iMessage, le protocole de messagerie propriétaire d’Apple.

La première faille (CVE-2019-8647) permet l’exécution de code arbitraire en s’attaquant au Core Data framework d’iOS – en lien avec une méthode (NSArray initWithCoder) insuffisamment sécurisée. La seconde (CVE-2019-8662), similaire, réside dans la fonctionnalité d’aperçu rapide Quicklook. La troisième (CVE-2019-8660) permet de corrompre la mémoire au travers du composant Siri du framework Core Data, qui permet de provoquer des crashes et de l’exécution de code arbitraire.

Lire également : Bluetooth BLE – une faille de sécurité permet de suivre à la trace les PC et les iPhone

Enfin, la faille CVE-2019-8646 qui réside également dans Siri et dans le Core Data framework permet à un attaquant de lire le contenu de fichiers de l’iPhone à distance sans la moindre interaction de l’utilisateur, et lui donne un accès total – non sandboxé – à l’appareil. Google a mis en ligne des « preuves de concepts » (autrement dit des démonstrations) de ces failles de sécurité ce qui facilite la tâche de pirates éventuels. Néanmoins comme on vous le disait plus haut, le fait qu’une mise à jour ait déjà été poussé sur tout le parc des iPhone concernés réduit d’autant le risque. Une manière de souligner, si cela était nécessaire, l’intérêt d’accélérer la livraison des mises à jour dans l’écosystème Android.

Source : The Hacker News



Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
L’iPhone 9 s’appelle en fait iPhone SE : lancement ce 3 avril 2020 ?

L’iPhone 9 s’appelle finalement iPhone SE. L’Apple Store en ligne américain a apparement dévoilé par erreur la véritable appellation de ce nouvel iPhone abordable juste avant son lancement. D’après les dernières fuites, Apple dévoilerait le smartphone ce vendredi 3 avril 2020 sur…

iPhone 9 : date de lancement reportée au 15 avril 2020

L’iPhone 9 ne devrait plus tarder à débarquer sur le marché. D’après les informations obtenues par Jon Prosser, le journaliste derrière la chaîne YouTube Front Page Tech, Apple aurait décidé de reporter le lancement de son nouvel iPhone au mercredi…

iPhone 9 : son lancement serait imminent

L’enseigne américaine Best Buy trahit le lancement imminent de l’iPhone 9. Le site a reçu des coques du smartphone avec pour consigne de ne pas les mettre en ligne avant le 5 avril, ce qui laisse penser que le nouvel…

Le WiFi 6 débarque sur iPad Pro avant les MacBook

Le nouvel iPad Pro 2020 est compatible avec le WiFi 6 aussi bien dans sa version de 11 que 12,9 pouces. Le MacBook Air 2020 aurait pu être le premier MacBook à proposer la nouvelle norme WiFi. Apple en a…

iPad Pro 2020 : Apple dévoile 4 nouvelles tablettes par erreur

Les iPad Pro 2020 sont brièvement apparus sur le site chinois d’Apple. Le constructeur a visiblement mis en ligne par mégarde le support technique de 4 nouvelles tablettes. La fuite dévoile même la taille d’écran de cette nouvelle génération d’iPad haut de gamme. …