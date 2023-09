Une vulnérabilité zéro clic et zéro jour ciblant les appareils Apple a récemment été découverte, entraînant la diffusion du célèbre logiciel espion Pegasus sur les iPhones. L'exploit, connu sous le nom de BLASTPASS, contourne même la dernière version d'iOS (16.6) en utilisant des pièces jointes PassKit contenant des images malveillantes. Une fois ces pièces jointes envoyées au compte iMessage de la victime, le logiciel espion Pegasus du groupe NSO peut être déployé sans aucune interaction requise.

L'équipe de recherche du Citizen Lab a rapidement informé Apple après avoir découvert un appareil infecté appartenant à une personne employée par une organisation de la société civile basée à Washington DC, avec une portée internationale. En réponse, Apple a rapidement attribué deux identifiants CVE (Common Vulnerabilities and Exposures) à la chaîne d’exploit – CVE-2023-41064 et CVE-2023-41061 – et a publié des mises à jour pour iOS et iPadOS. Il a été conseillé aux utilisateurs à risque d'activer le mode de verrouillage, qui bloque efficacement l'attaque.

Bien que Citizen Lab n'ait pas encore fourni de détails supplémentaires concernant la chaîne d'exploitation, les notes de publication d'Apple mettent en lumière les vulnérabilités. CVE-2023-41064 est attribué à un problème de dépassement de tampon dans ImageIO, où le traitement d'une image conçue de manière malveillante peut conduire à l'exécution de code arbitraire. Pendant ce temps, l'application Wallet a été affectée par CVE-2023-41061 en raison d'une pièce jointe malveillante, qui a été corrigée par Apple grâce à une logique de validation améliorée.

Le logiciel espion Pegasus, développé par le groupe israélien NSO, est un outil très controversé qui prétend être vendu exclusivement à des agences gouvernementales légitimes. Une fois installé, ce logiciel espion peut surveiller les appels, les messages et utiliser l'appareil photo du téléphone. Malgré les affirmations de NSO Group selon lesquelles le logiciel espion serait autorisé à lutter contre les criminels, son utilisation a suscité des inquiétudes parmi les législateurs et les défenseurs de la vie privée. Citizen Lab a déjà découvert la présence de Pegasus sur des appareils au sein du gouvernement britannique.

Pour se prémunir contre ces exploits, il est crucial de mettre à jour immédiatement les appareils iOS et iPadOS. La réponse rapide et le cycle de correctifs d'Apple, combinés à la collaboration de l'organisation victime, ont été salués par Citizen Lab pour ses efforts visant à remédier à cette vulnérabilité.

Définitions:

Vulnérabilité Zero Day : vulnérabilité logicielle découverte par les auteurs de menaces avant d'être connue des éditeurs ou des développeurs de logiciels, permettant potentiellement un accès non autorisé ou des activités malveillantes.

Exploit : élément de logiciel, de code ou de technique qui profite d'une vulnérabilité dans un système, une application ou un logiciel pour accomplir des actions malveillantes ou obtenir un accès non autorisé.

Logiciel espion Pegasus : un puissant outil espion développé par le groupe NSO qui peut infiltrer et surveiller secrètement divers aspects d'un appareil cible, notamment les appels, les messages et l'utilisation de la caméra.

PassKit : service fourni par Apple qui permet la distribution de laissez-passer, tels que des billets, des coupons et des cartes de membre, via l'application Apple Wallet de l'utilisateur.

CVE (Common Vulnerabilities and Exposures) : identifiant standardisé attribué à une vulnérabilité ou à un problème de sécurité spécifique à des fins de suivi et de référence.

Sources : Citizen Lab, notes de version Apple