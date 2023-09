By

L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a émis un avertissement aux agences fédérales, les exhortant à mettre à jour leurs appareils iOS, iPadOS et macOS d'ici un mois. Ceci fait suite à la découverte de deux vulnérabilités zero-day dans les produits Apple qui pourraient potentiellement être exploitées par des attaques de logiciels espions.

La première vulnérabilité, connue sous le nom de CVE-2023-41064, est une vulnérabilité de dépassement de tampon dans ImageIO. Cela se produit lors du traitement d’une image spécialement conçue et peut conduire à l’exécution de code. La deuxième vulnérabilité, CVE-2023-41061, est un problème de validation dans Apple Wallet. Une pièce jointe conçue de manière malveillante pourrait entraîner l’exécution de code.

Citizen Lab, une organisation à but non lucratif, a récemment découvert ces vulnérabilités dans le cadre d'une chaîne d'exploitation appelée « BlastPass ». Cette chaîne a été utilisée pour livrer le logiciel espion Pegasus à un employé d'une organisation de la société civile basée à Washington. Citizen Lab a révélé que l'exploit utilisait des pièces jointes PassKit contenant des images malveillantes envoyées via iMessage.

Même s’il n’est pas clair qui a autorisé ces attaques, on craint qu’elles ne soient également utilisées contre des représentants du gouvernement américain si elles étaient menées par une nation hostile. Dans le passé, des attaques de logiciels espions similaires ont été signalées, l'iPhone de neuf responsables du Département d'État américain ayant été piraté à distance en 2021.

Apple a décidé d'engager des poursuites judiciaires contre la société israélienne NSO Group, soupçonnée d'être responsable du développement et de la vente du logiciel espion Pegasus. NSO Group affirme que ses produits sont destinés à des fins légitimes d’application de la loi et de collecte de renseignements.

Pour atténuer le risque d'attaques de logiciels espions, les agences fédérales ont jusqu'au 2 octobre pour corriger les vulnérabilités découvertes via les mises à jour officielles des fournisseurs. Ne pas le faire peut entraîner l’arrêt de l’utilisation de ces produits Apple.

