Apple a publié une suite de nouvelles mises à jour pour iOS, macOS et watchOS afin de corriger un bogue qui, selon les chercheurs en sécurité de Citizen Lab, a très probablement été exploité pour permettre aux agences gouvernementales d'installer des logiciels espions sur les téléphones des journalistes , avocats et militants. Les chercheurs disent que le bogue a permis une installation « sans clic » (ce qui signifie que la cible n'a rien eu à faire pour être infectée) du logiciel espion Pegasus, qui serait capable de voler des données, des mots de passe et d'activer le microphone d'un téléphone ou caméra. Vous pouvez lire notre explicatif de Pegusus ici pour plus de détails.
Compte tenu de la gravité de l'exploit, vous devriez mettre à jour iOS 14.8, macOS Big Sur 11.6 et watchOS 7.6.2 dès que possible comme tu peux.
La page de mise à jour d'Apple indique qu'elle est “au courant d'un rapport selon lequel ce problème pourrait avoir été activement exploité”.
Nous avons entendu parler de l'exploit en août, lorsque Citizen Lab a signalé qu'il avait été utilisé avec succès contre des téléphones exécutant iOS 14.6 (publié en mai). Citizen Lab a également déclaré que la vulnérabilité, dont le nom de code était « Entrée forcée », semblait correspondre au comportement d'un exploit sur lequel Amnesty International avait écrit en juillet. À l'époque, les chercheurs en sécurité écrivaient que cela avait été rendu possible par un bogue dans le système CoreGraphics d'Apple et qu'il s'était produit lorsque le téléphone a essayé d'utiliser une fonction liée aux GIF, après avoir reçu un message texte contenant un fichier malveillant.
Cependant, même avec ces informations, il pourrait être difficile de déterminer exactement ce qui se passait sans accès aux fichiers infectés eux-mêmes. Selon Citizen Lab, ils ont découvert des fichiers en analysant à nouveau une sauvegarde du téléphone piraté d'un activiste. Les fichiers semblaient être des GIF envoyés sous forme de pièces jointes SMS, mais étaient en fait des PSD et des PDF. (Les notes de mise à jour d'Apple indiquent que le problème s'est produit lors du traitement d'un PDF conçu de manière malveillante.) Citizen Lab soupçonnait qu'ils pouvaient être liés à Pegasus, il a donc envoyé les fichiers à Apple le 7 septembre. Apple a rapidement publié les mises à jour logicielles corrigeant le bogue le 13 septembre et a remercié Citizen Lab dans un communiqué pour “avoir terminé le travail très difficile d'obtenir un échantillon de cet exploit”.
iOS 14.8 est apparemment uniquement axé sur la sécurité
Certaines des mises à jour de lundi corrigent également un deuxième problème de sécurité avec WebKit pour iOS et macOS Big Sur (cela n'est pas mentionné dans les notes de publication de Catalina). Bien qu'il ne soit pas clair si cela est lié aux exploits de NSO – sa découverte est attribuée à “un chercheur anonyme” au lieu de Citizen Lab, et c'est dans une autre partie du système – Apple dit toujours qu'il “a peut-être été activement exploité”.
Un problème de sécurité aussi urgent explique pourquoi nous voyons une nouvelle mise à jour d'iOS juste un jour avant un événement Apple, où il est prévu d'annoncer de nouveaux téléphones qui n'exécuteront probablement jamais cette version du système d'exploitation. Pourtant, il y a eu des rumeurs sur une version d'iOS 14.8 depuis début août, mais étant donné que la version de lundi semble ne traiter que les problèmes de sécurité découverts en septembre, il est possible que nous voyions au moins une autre version d'iOS 14.
Gardez vos appareils à jour
Le rendu PDF de CoreGraphics semble avoir été problématique récemment en matière de sécurité. iOS 14.7 incluait également un correctif pour un problème apparemment distinct avec le système, qui pouvait également conduire à l'exécution de code arbitraire. WebKit a également récemment eu quelques mises à jour pour résoudre les problèmes de sécurité qui, selon Apple, « pourraient avoir été activement exploités ». Lorsque la nouvelle de l'exploit CoreGraphics a éclaté en août, Apple a déclaré à TechCrunch qu'il travaillait à l'amélioration de la sécurité pour iOS 15.
Tout cela nous rappelle à quel point il est important de garder tous vos appareils à jour. Même si, espérons-le, vous ne vous retrouverez jamais du mauvais côté d'un gouvernement utilisant des logiciels espions avancés, c'est toujours une bonne idée de vous assurer que votre appareil n'est pas vulnérable aux exploits de sécurité largement signalés. Heureusement, Apple prévoit de permettre aux utilisateurs d'installer des mises à jour de sécurité pour iOS 14 sans avoir à passer à iOS 15, ce qui pourrait être utile pour les futurs correctifs. Pour le moment, cependant, mettez tous vos appareils à jour dès que vous le pouvez.
Mise à jour le 13 septembre à 19h10 HE : Ajout d'une citation d'Apple déclaration remerciant Citizen Lab.