Les iPhone et les iPad sont la cible des pirates, met en garde ZecOps. En exploitant une grave faille de sécurité repérée dans l'application Mail par défaut d'iOS, un attaquant est capable de s'emparer du courriel des utilisateurs et d'envoyer des emails à leur insu. Apple enquête actuellement sur cette faille et s'est engagé à corriger le tir dans une prochaine mise à jour d'iOS. 

La société de cybersécurité ZecOps affirme avoir identifié une grave faille de sécurité dans l'application Mail par défaut d'iOS. Toujours active, cette faille « zero day » est présente sur toutes les versions d'iOS depuis iOS 6, qui a été déployé en 2012. Tous les iPhone et iPad tournant sous une version d'iOS plus récente sont donc concernés.

Sur le même sujet : iOS 13 partagerait vos infos de carte de crédit avec des inconnus

Apple va combler la faille de sécurité de Mail dans la mise à jour iOS 13.4.5

Concrètement, la faille permet à un pirate “d'exécuter du code à distance” et de subtiliser, de modifier ou d'envoyer du courriel. Pour ça, l'attaquant transmet d'abord à sa cible un mail, en apparence vide, contenant un malware. Sur iOS 13, même si l'utilisateur ne clique pas sur le courriel, le logiciel malveillant sera capable d'infecter l'iPhone ou l'iPad. Sur iOS 12 notamment, la victime doit d'abord interagir avec le courriel. Pour réussir toute l'opération, les pirates ont impérativement besoin d'exploiter une autre faille d'iOS. Les chercheurs de ZeCops enquêtent encore sur cette mystérieuse faille. Pour la victime, l'exécution de l'attaque est presque indétectable. “Certains remarquent néanmoins un ralentissement momentané de l'application Mail” précise le rapport.

Selon ZecOps, la brèche a été massivement exploitée par des hackers depuis janvier 2018. D'après les experts, la faille a déjà été utilisée pour pirater le terminal d'un journaliste européen, d'un milliardaire allemand, d'une entreprise de cybersécurité en Israel, d'un cadre suisse, un opérateur télécom japonais et de plusieurs individus employés par une firme du classement Fortune 500. Sans surprise, la brèche est du pain béni pour les espions. Pour ZecOps, les attaques ont été mises sur pied par “un groupe de pirates mandatés par un gouvernement”.

Alerté par les chercheurs de ZeCops, Apple a lancé une vaste enquête. La firme de californienne s'apprête à déployer une mise à jour d'iOS contenant un correctif. Déjà disponible en beta, iOS 13.4.5 devrait protéger les utilisateurs contre les tentatives de piratage. Si Mail est vulnérable aux attaques, ce n'est pas le cas d'Outlook ou de Gmail. Si vous n'utilisez pas le client Mail par défaut d'iOS, vous ne risquez donc rien. En attendant le correctif d'Apple, on vous conseille d'abandonner l'application pour le moment.

Source : ZecOps