Google Project Zero vient de dévoiler 4 mises en pratiques de 5 failles critiques découvertes récemment sur iOS. Celles-ci permettent de pirater des iPhone à distance en envoyant un simple message via iMessage. Apple a été alerté du problème en amont et propose un patch de sécurité dans sa dernière mise à jour iOS 12.4. 

Les failles de sécurité n'existent pas que sur les smartphones Android – elles existent sur tout types d'appareils, y compris les iPhone dont le marketing d'Apple exagère souvent la sécurité. Bien sûr, en disant cela, on oublie un aspect essentiel : ce n'est pas vraiment le fait qu'il y ait des failles qui pose problème. Ce qui compte, c'est surtout qu'elles soient rapidement corrigées. Et de ce point de vue, les iPhone ont un avantage énorme sur les smartphones Android : ils reçoivent les mises à jour d'iOS immédiatement, dès que ces dernières sont disponibles. Alors que sur Android, c'est au bon vouloir des constructeurs.

Les failles de sécurité critiques touchent aussi les iPhone, mais ils sont très vite patchés…

Ce qui n'enlève rien au fait que les experts du Google Project Zero en ont trouvé une belle brochette dernièrement sur iOS. Car ce ne sont pas des petites failles : on parle de failles critiques qui permettent à un attaquant de prendre le contrôle total d'un appareil et d'ex filtrer des données, sans que l'utilisateur ne doive pour cela ouvrir quoi que ce soit. Il y a en tout cinq failles – dont une (CVE-2019-8641) reste pour le moment privée le temps que Apple achève de la patcher. Les quatre autres failles ont toutes été corrigées avant publication par les équipes d'Apple, prévenues en amont par les chercheurs de Project Zero. Toutes concernent iMessage, le protocole de messagerie propriétaire d'Apple.

La première faille (CVE-2019-8647) permet l'exécution de code arbitraire en s'attaquant au Core Data framework d'iOS – en lien avec une méthode (NSArray initWithCoder) insuffisamment sécurisée. La seconde (CVE-2019-8662), similaire, réside dans la fonctionnalité d'aperçu rapide Quicklook. La troisième (CVE-2019-8660) permet de corrompre la mémoire au travers du composant Siri du framework Core Data, qui permet de provoquer des crashes et de l'exécution de code arbitraire.

Lire également : Bluetooth BLE – une faille de sécurité permet de suivre à la trace les PC et les iPhone

Enfin, la faille CVE-2019-8646 qui réside également dans Siri et dans le Core Data framework permet à un attaquant de lire le contenu de fichiers de l'iPhone à distance sans la moindre interaction de l'utilisateur, et lui donne un accès total – non sandboxé – à l'appareil. Google a mis en ligne des “preuves de concepts” (autrement dit des démonstrations) de ces failles de sécurité ce qui facilite la tâche de pirates éventuels. Néanmoins comme on vous le disait plus haut, le fait qu'une mise à jour ait déjà été poussé sur tout le parc des iPhone concernés réduit d'autant le risque. Une manière de souligner, si cela était nécessaire, l'intérêt d'accélérer la livraison des mises à jour dans l'écosystème Android.

Source : The Hacker News