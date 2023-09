L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ordonné aux agences fédérales de corriger les vulnérabilités de sécurité qui ont été exploitées dans le cadre d'une chaîne d'exploitation iMessage sans clic. Ces vulnérabilités ont été utilisées pour infecter les iPhones avec le logiciel espion Pegasus développé par NSO Group. Cette action fait suite à la divulgation par Citizen Lab selon laquelle des iPhones entièrement corrigés appartenant à une organisation de la société civile à Washington DC ont été compromis à l'aide d'une chaîne d'exploitation appelée BLASPASS, qui utilisait des pièces jointes PassKit contenant des images malveillantes.

Citizen Lab a également averti les clients Apple d'appliquer immédiatement les mises à jour d'urgence publiées jeudi. Ils ont en outre exhorté les personnes susceptibles d'être exposées à des attaques ciblées en raison de leur identité ou de leur profession à activer le mode de verrouillage.

Les deux vulnérabilités, connues sous le nom d'Image I/O et Wallet, ont été suivies respectivement sous les noms CVE-2023-41064 et CVE-2023-41061. Apple a reconnu le rapport d'exploitation active et a depuis publié des correctifs pour ces vulnérabilités dans les dernières versions de macOS Ventura, iOS, iPadOS et watchOS. Ces mises à jour résolvent les problèmes de gestion de la mémoire et de logique qui permettaient aux attaquants d'exécuter du code arbitraire sur des appareils qui n'avaient pas été corrigés.

La CISA a inclus ces deux failles de sécurité dans son catalogue de vulnérabilités exploitées connues, déclarant qu'elles sont fréquemment ciblées par des cyberacteurs malveillants et présentent des risques importants pour l'entreprise fédérale. En conséquence, les agences fédérales civiles du pouvoir exécutif (FCEB) sont tenues de corriger toutes les vulnérabilités répertoriées dans le catalogue dans un délai spécifié, selon une directive opérationnelle contraignante (BOD 22-01) publiée en novembre 2022. À la lumière de cette mise à jour , les agences fédérales doivent sécuriser les appareils iOS, iPadOS et macOS vulnérables sur leurs réseaux contre CVE-2023-41064 et CVE-2023-41061 d'ici le 2 octobre 2023.

Bien que la directive s'applique principalement aux agences fédérales américaines, la CISA conseille vivement aux entreprises privées de donner la priorité à la correction de ces vulnérabilités dans les plus brefs délais. Apple s'est activement attaqué aux vulnérabilités Zero Day de ses systèmes d'exploitation cette année, avec un total de 13 exploits corrigés depuis janvier 2023.

Définitions:

– Exploitation sans clic : type de cyberattaque dans laquelle aucune interaction de l’utilisateur n’est requise pour que la vulnérabilité soit exploitée.

– iMessage : Une plateforme de messagerie développée par Apple pour ses appareils.

– Spyware : logiciel malveillant conçu pour collecter secrètement des informations à partir d’un appareil ou d’un ordinateur cible.

Sources:

– CISA

– Laboratoire citoyen