Si l’iPhone est l’un des smartphones les plus fiables du marché, il n’est certainement pas infaillible. Il y a un an, le chercheur en sécurité Ian Beer a découvert trente vulnérabilités sous iOS alors qu’il travaillait pour Project Zero, une équipe de pirates informatiques d’élite chargée de trouver des failles de sécurité chez les produits concurrents pour le compte de Google.

Lors de la conférence Black Hat, qui s’est tenu début août à Las Vegas, Project Zero a présenté, dans un nouveau rapport rédigé par la chercheuse Natalie Silvanovich et son collègue Samuel Groß, dix failles permettant de pirater un iPhone.

« Il y a eu des rumeurs de vulnérabilités à distance ne nécessitant aucune interaction de l’utilisateur pour attaquer l’iPhone, mais peu d’informations sont disponibles sur les aspects techniques de ces attaques sur les appareils modernes », ont expliqué les chercheurs.

Les vulnérabilités constatées par Silvanovich et Groß couvrent toute la gamme et impliquent des services tels que la messagerie texte, le service Visual Voicemail et le courrier électronique. Mais iMessage, l’application de messagerie par défaut des appareils iOS et Mac, a souffert du plus grand nombre de bugs à fort impact. Et un simple iMessage peut permettre à un pirate informatique d’extraire les données de l’appareil, sans même que le destinataire n’ait besoin de l’ouvrir.

D’autres vulnérabilités constituent des accès permettant à un hacker d’installer un code malveillant sur l’appareil d’un utilisateur à son insu. Selon Silvanovich, la complexité d’iMessage et sa dépendance croisée avec de nombreux autres services, applications et bibliothèques, augmente le risque que ces attaques puissent contourner les défenses iOS plus larges.

La part du lion des failles est ce que l’équipe du Projet Zéro a appelé les vulnérabilités à distance ou « zéro clic », car elles ne nécessitent aucune interaction physique avec la cible (comme cliquer sur un lien de phishing). Ces défauts sont particulièrement recherchés par les agents d’État, étant donné que la cible ne se rend même pas compte qu’une attaque a eu lieu.

Sur les dix vulnérabilités, six ont déjà été corrigées, selon les chercheurs. Mais d’autres attendent d’être dévoilées.

Les chercheurs se disent motivés à chercher d’autres vulnérabilités « zéro clic » depuis qu’une vulnérabilité de Whatsapp a récemment démontré que les utilisateurs iPhone pourraient avoir des logiciels espions installés sur leurs téléphones et que leurs appels pourraient être écoutés.

« Dans l’ensemble, la quantité et la gravité des vulnérabilités à distance que nous avons trouvées étaient considérables, a déclaré Natalie Silvanovich. Réduire la surface d’attaque à distance de l’iPhone améliorerait probablement sa sécurité. »

Quelques mois plus tôt, les chercheurs de Project Zero avaient découvert une autre série de vulnérabilités d’iMessage, si graves qu’elles pouvaient entraîner l’effacement complet d’un iPhone par un pirate à distance, encore une fois sans qu’aucune action ne soit entreprise par la cible. D’autres bugs permettaient de siphonner secrètement les données provenant de l’appareil d’un utilisateur privé.

Apple a commencé à offrir des récompenses à six chiffres aux pirates informatiques capables de découvrir des vulnérabilités dans ses produits en 2016, probablement en raison du fait que ces vulnérabilités peuvent rapporter des millions de dollars sur le marché gris, où elles sont susceptibles de causer beaucoup plus de mal aux utilisateurs finaux. Ce mois-ci, la société a annoncé que la récompense s’élèvera jusqu’à 1 million de dollars.

Silvanovich a clairement indiqué que la sécurité de l’iOS reste généralement élevée. Et bien qu’il soit impossible d’être entièrement sécurisé face à de telles attaques, la meilleure chose à faire est de garder votre OS et vos applications à jour. Les six bugs iMessage que Silvanovich a présentés le week-end du 8 août à la convention hacker DEF CON ont été corrigés via les mises à jour iOS 12.4 et macOS 10.13.6 d’Apple.

