Le groupe de recherche de Google a découvert une faille critique de l'iPhone. Elle a normalement été réparée avant que des hackers malveillants l'aient exploitée.
Même l’iPhone, réputé pour sa sécurité, n’est pas à l’abri des failles. Le Google Project Zero, division de Google spécialisée dans la recherche d’importantes failles de sécurité, a trouvé un moyen de contourner les défenses du smartphone d'Apple. Avec pour seule information un identifiant Apple (soit un email ou un téléphone), le laboratoire est parvenu à hacker à distance le smartphone. Grâce à l’exploitation de la faille, elle pouvait exfiltrer toutes sortes de données : fichiers, mots de passes, codes pour la double authentification, SMS, email…
Et ce n’est pas tout : la faille permettrait aussi d’activer micro et caméra de l’appareil en toute discrétion. Pour ne rien gâcher, elle rentrait dans la dangereuse catégorie des zéro-clic : un hacker aurait pu l’exploiter sans que l’utilisateur n’effectue d’action (comme cliquer sur un lien ou ouvrir une application) et qu’il ne reçoive de notification.
Samuel Groß, du Project Zero, détaille dans un long article de blog en trois parties comment il est parvenu à réaliser le hack, à partir d’une unique vulnérabilité liée à la mémoire de l’appareil. Celle-ci permettait de passer par la fonction qui distribue les accusés de réception sur iMessages (et indique “envoyé” ou “lu”) pour accéder au smartphone.
![[Image: photo-3-1-1024x576.jpg]](https://cyberguerre.numerama.com/content/uploads/sites/2/2020/01/photo-3-1-1024x576.jpg)
Une faille colmatée avant d'être exploitée:
Dès le 26 août, Apple, averti par Google un mois plus tôt, avait neutralisé la vulnérabilité, avant de la résoudre pour de bon fin octobre. Les utilisateurs d’iPhone ne sont donc plus concernés, à condition d’être à jour dans la mise à jour d’iOS, le système d’exploitation de l’appareil. Si Project Zero a découvert cette vulnérabilité, cela ne signifie pas que des hackers l’ont également trouvée. Elle a peut-être pu être réparée avant d’être exploitée par des organisations malveillantes.
Apple régulièrement visé par Project Zero:
La division de cybersécurité Project Zero se penche régulièrement sur la sécurité d’iOS, le système d’exploitation des iPhone. En juillet, elle révélait une faille qui permettrait désactiver les iPhone, et de forcer un redémarrage en usine, ainsi qu’une autre plus tôt dans l’année, qui permettait de lire les fichiers du smartphone. Il faut prendre compte qu’aucun système ne s’approche du risque zéro de faille de sécurité, et que ces vulnérabilités exposées par Google ne sont pas synonymes de mauvaise gestion de la sécurité.
Le plus souvent, les deux entreprises collaborent sans que leur concurrence sur le marché des smartphones n’entre en jeu. Mais en août, Apple avait critiqué publiquement une publication de Project Zero.
« L’article de Google, publié six mois après la sortie des patchs iOS, crée la fausse impression d’une “exploitation de masse” pour “surveiller les activités privées, en direct, de populations entières”, ce qui a créé de la peur auprès des utilisateurs d’iPhone, alors que leurs appareils n’ont jamais été compromis », écrivait le constructeur.
Les failles zéro-clic, comme celle exposée par Project Zero, sont particulièrement critiques. Les entreprises comme Apple ou Google récompensent les chercheurs capables de les relever avec des enveloppes pouvant atteindre le millions de dollars en fonction de leur gravité.
Source: cyberguerre.numerama.com
Même l’iPhone, réputé pour sa sécurité, n’est pas à l’abri des failles. Le Google Project Zero, division de Google spécialisée dans la recherche d’importantes failles de sécurité, a trouvé un moyen de contourner les défenses du smartphone d'Apple. Avec pour seule information un identifiant Apple (soit un email ou un téléphone), le laboratoire est parvenu à hacker à distance le smartphone. Grâce à l’exploitation de la faille, elle pouvait exfiltrer toutes sortes de données : fichiers, mots de passes, codes pour la double authentification, SMS, email…
Et ce n’est pas tout : la faille permettrait aussi d’activer micro et caméra de l’appareil en toute discrétion. Pour ne rien gâcher, elle rentrait dans la dangereuse catégorie des zéro-clic : un hacker aurait pu l’exploiter sans que l’utilisateur n’effectue d’action (comme cliquer sur un lien ou ouvrir une application) et qu’il ne reçoive de notification.
Samuel Groß, du Project Zero, détaille dans un long article de blog en trois parties comment il est parvenu à réaliser le hack, à partir d’une unique vulnérabilité liée à la mémoire de l’appareil. Celle-ci permettait de passer par la fonction qui distribue les accusés de réception sur iMessages (et indique “envoyé” ou “lu”) pour accéder au smartphone.
Une faille colmatée avant d'être exploitée:
Dès le 26 août, Apple, averti par Google un mois plus tôt, avait neutralisé la vulnérabilité, avant de la résoudre pour de bon fin octobre. Les utilisateurs d’iPhone ne sont donc plus concernés, à condition d’être à jour dans la mise à jour d’iOS, le système d’exploitation de l’appareil. Si Project Zero a découvert cette vulnérabilité, cela ne signifie pas que des hackers l’ont également trouvée. Elle a peut-être pu être réparée avant d’être exploitée par des organisations malveillantes.
Apple régulièrement visé par Project Zero:
La division de cybersécurité Project Zero se penche régulièrement sur la sécurité d’iOS, le système d’exploitation des iPhone. En juillet, elle révélait une faille qui permettrait désactiver les iPhone, et de forcer un redémarrage en usine, ainsi qu’une autre plus tôt dans l’année, qui permettait de lire les fichiers du smartphone. Il faut prendre compte qu’aucun système ne s’approche du risque zéro de faille de sécurité, et que ces vulnérabilités exposées par Google ne sont pas synonymes de mauvaise gestion de la sécurité.
Le plus souvent, les deux entreprises collaborent sans que leur concurrence sur le marché des smartphones n’entre en jeu. Mais en août, Apple avait critiqué publiquement une publication de Project Zero.
« L’article de Google, publié six mois après la sortie des patchs iOS, crée la fausse impression d’une “exploitation de masse” pour “surveiller les activités privées, en direct, de populations entières”, ce qui a créé de la peur auprès des utilisateurs d’iPhone, alors que leurs appareils n’ont jamais été compromis », écrivait le constructeur.
Les failles zéro-clic, comme celle exposée par Project Zero, sont particulièrement critiques. Les entreprises comme Apple ou Google récompensent les chercheurs capables de les relever avec des enveloppes pouvant atteindre le millions de dollars en fonction de leur gravité.
Source: cyberguerre.numerama.com
![[-]](https://www.tisi-fr.com/board/images/collapse.png)
