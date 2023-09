Apple fait à nouveau face à des critiques concernant la vulnérabilité de son logiciel, alors que les chercheurs ont découvert un autre bug zero-day dans iMessage. Ce nouvel exploit permet la diffusion du logiciel espion Pegasus, un outil de surveillance commerciale développé par NSO Group, une société israélienne. Les chercheurs du Citizen Lab, qui ont découvert la vulnérabilité, ont signalé que Pegasus était activement utilisé pour cibler les militants des droits humains.

Pegasus est capable de s'installer sur le téléphone d'un utilisateur sans nécessiter aucune interaction de l'utilisateur ni cliquer sur un lien. Une fois installé, il offre au pirate informatique un accès complet au téléphone, y compris son contenu, ses caméras et son microphone. Le groupe NSO affirme qu'il ne vend ses logiciels espions à des entités gouvernementales qu'avec l'approbation du gouvernement israélien et nie les allégations selon lesquelles il ciblerait des militants des droits de l'homme.

Apple a publié une mise à jour de sécurité, iOS 16.6.1, invitant les utilisateurs à mettre à jour leurs appareils immédiatement. La mise à jour inclut des correctifs pour deux vulnérabilités zero-day qui ont été utilisées contre un membre d'une organisation de la société civile à Washington, DC. Les vulnérabilités ont été découvertes lors d'une enquête sur l'exploit initial. Le mode de verrouillage optionnel d'Apple, conçu pour améliorer les fonctionnalités de sécurité et bloquer les attaques ciblées, aurait empêché ces exploits spécifiques.

La chaîne d'exploitation, connue sous le nom de BLASTPASS, impliquait l'envoi de pièces jointes PassKit contenant des images malveillantes depuis le compte iMessage d'un attaquant à la victime. Apple a publié deux CVE liés à cette chaîne d'exploits, CVE-2023-41064 et CVE-2023-41061. Ces vulnérabilités permettent aux acteurs malveillants d'exécuter du code arbitraire.

Malgré les efforts d'Apple pour corriger les vulnérabilités du jour zéro, les sceptiques affirment que les logiciels de l'entreprise, en particulier iMessage, continuent de rencontrer des problèmes de sécurité. Apple a corrigé un total de 13 jours zéro en 2023, y compris des problèmes de dépassement de tampon et de validation. L'intégration d'iMessages, de messages texte SMS et d'e-mails a compliqué la logique et le comportement de la plateforme, entraînant une confusion et des vulnérabilités potentielles.

La récente découverte de l'exploit Zero Day et l'utilisation du logiciel espion Pegasus pour cibler des militants des droits de l'homme soulignent la nécessité d'une vigilance continue dans la lutte contre les vulnérabilités logicielles. La réponse rapide d'Apple en enquêtant et en corrigeant ces vulnérabilités est louable, mais elle souligne également le fait que les exploits et les logiciels espions très sophistiqués continuent de présenter des risques pour la société civile.

