Cupertino a déployé hier soir des mises à jour de sécurité avec iOS/iPadOS 14.7.1 et macOS Big Sur 11.5.1.
Officiellement, la mise à jour d'iOS 14.7.1 corrigeait le bug empêchant les appareils équipés de Touch ID de déverrouiller automatiquement l'Apple Watch et apportait d'importantes mises à jour de sécurité, avec une installation conseillée pour l'ensemble des utilisateurs d'iOS 14.7. Après l'enquête menée par 17 médias en collaboration avec le laboratoire de sécurité d'Amnesty International pointant du doigt l'espionnage de journalistes et d'activistes par des gouvernements employant le logiciel Pegasus de la société israélienne NSO, de nombreux experts en sécurité, dont Matthew Green et Will Strafach, ont pris la parole afin de demander à Apple de corriger en priorité les vulnérabilités touchant Messages et mises à profit par NSO.
Apple indique qu'une corruption de la mémoire (faille nommée CVE-2021-30807 et attribuée à un chercheur anonyme) pouvait avoir été activement exploitée et que la mise à jour résolvait ce souci grâce à une meilleure gestion de la mémoire. Cette description pourrait correspondre à la faille zero-click (permettant d'infecter un appareil sans que l'utilisateur ne clique sur un lien malveillant) utilisée (parmi d'autres) par Pegasus. Ce ne sont que des spéculations, mais Apple pourrait bien avoir réagit face à la montée de ce bad buzz.
Rappelons que l'utilisateur lambda ne devrait pas avoir grand chose à craindre de Pegasus. La mise en place de ce type d'attaque étant particulièrement coûteuse, l'usage de Pegasus est limité à des cibles de valeur afin de garder secrètes le plus longtemps possible les failles utilisées et donc garantir la rentabilité et la pérennité du logiciel espion.
