Le Project Zero a levé un nouveau lièvre ces derniers mois, ce petit groupe de Google composés de chercheurs en sécurité qui ne cesse d'aller de révélations en révélations.
Cette fois, ce sont les utilisateurs d'iPhone qui auraient été visés pendant des années par des failles de sécurité qu'Apple n'a jamais corrigées. La simple visite d'un site suffisait apparemment à compromettre l'appareil et de très grands portails (plusieurs dizaines de milliers de visiteurs par jour) auraient été touchés. Pire que cela, ces attaques auraient touché d'iOS 10 à iOS 12Il s'agissait d'un groupe faisant un effort soutenu pour pirater les utilisateurs d'iPhone dans certaines communautés sur une période d'au moins deux ans.
Le but premier serait de récupérer un maximum de données, que ce soit des fichier ou des données de localisation. Des services comme iMessage seraient également concernés. En travaillant avec TAG, nous avons découvert quatorze vulnérabilités réparties dans cinq domaines : sept pour le navigateur Web de l’iPhone, cinq pour le noyau et deux sur la sandbox. L'analyse initiale a indiqué qu'au moins une des chaînes d'élévation de privilèges était encore non corrigée au moment de la découverte.
Les derniers correctifs dateraient seulement d'iOS 12.1.4 sorti le 9 février dernier. Être ciblé peut signifier simplement être né dans une certaine région géographique ou appartenir à un certain groupe ethnique. Tout ce que les utilisateurs peuvent faire, c'est être conscients du fait que l'exploitation de masse existe toujours et se comporter en conséquence; traiter leurs appareils mobiles à la fois comme faisant partie intégrante de leur vie moderne, mais également comme des appareils qui, une fois compromis, peuvent télécharger chacune de leurs actions dans une base de données pour éventuellement être utilisée à leur encontre.
Tout cela fait assez froid dans le dos, il faut bien le dire. Voilà une preuve -s'il en fallait encore- qu'iOS est loin d'être le coffre fort qu'Apple nous présente année après année. Si la Pomme fait tous les efforts possibles pour limiter la casse, il existe sûrement encore aujourd'hui, des failles permettant d'accéder à votre appareil sur la visite d'un simple site web malveillant.
