Apple a déployé jeudi dernier des correctifs d’urgence rares pour résoudre des failles de sécurité sur iPhone, Mac et Apple Watch, dont certaines semblaient être utilisées pour installer Pegasus, le logiciel espion notoire vendu à des gouvernements nationaux par le groupe NSO.
Une exploitation de la faille a été découverte sur le téléphone d’un employé d’un groupe de la société civile basé à Washington avec des bureaux à l’étranger il y a seulement une semaine, selon les chercheurs du Citizen Lab qui l’ont découvert.
Le Citizen Lab de l’Université de Toronto a détecté un grand nombre d’infections par Pegasus et de méthodes au cours des deux dernières années, obligeant NSO à dépenser davantage pour de nouvelles techniques, et il a travaillé plus étroitement avec Apple qu’auparavant.
Dans ce cas, “ils semblent avoir tout abandonné et déployé un correctif rapide”, a déclaré John Scott-Railton du Citizen Lab à Joseph. “En général, Apple a radicalement augmenté la cadence de ses correctifs et de sa chasse aux menaces.”
À propos de la vulnérabilité Citizen Lab a déclaré que la vulnérabilité qu’il a trouvée sur le téléphone était une vulnérabilité dite “zéro-clic”, ce qui signifie qu’une cible potentielle n’aurait pas besoin de cliquer sur une pièce jointe d’e-mail ou une URL pour en être victime.
“Nous appelons la chaîne d’exploitation BLASTPASS”, selon une brève alerte du Citizen Lab. “La chaîne d’exploitation était capable de compromettre des iPhones exécutant la dernière version d’iOS (16.6) sans aucune interaction de la victime (leur emphase).”
Bill Marczak du Citizen Lab a qualifié l’exploit de “virtuellement invisible”.
Voici ce qu’Apple a déclaré :
L’une des deux vulnérabilités concerne ImageIO, un framework d’Apple qui permet aux applications de lire et d’écrire la plupart des formats de fichiers image. “Le traitement d’une image malveillante peut entraîner l’exécution de code arbitraire”, a déclaré Apple.
La deuxième concerne l’application Apple Wallet. “Une pièce jointe malveillante peut entraîner l’exécution de code arbitraire”, a déclaré Apple. La vulnérabilité a été découverte par Apple, et l’annonce d’hier était une rare instance où la société a publiquement reconnu avoir trouvé une vulnérabilité “zéro-jour”, selon Maddie Stone, chercheuse en sécurité au sein du groupe d’analyse des menaces de Google.
Dans les deux cas, a déclaré la société, “Apple a connaissance d’un rapport selon lequel ce problème aurait pu être activement exploité”.
787 total views, 2 views today