Téléchargez immédiatement la mise à jour iOS 12.4

1 Août 2019

C’est toujours une bonne idée de mettre à jour le système d’exploitation de votre iPhone ou de votre iPad dès qu’une nouvelle version est disponible. Presque toutes les nouvelles versions d’iOS résolvent certains bugs trouvés dans les anciennes. Mais cette fois, cela pourrait s’avérer déterminant : iOS 12.4 corrige de graves vulnérabilités de l’application iMessage pouvant être exploitées sans que l’utilisateur n’ait à interagir.

Natalie Silvanovich et Samuel Groß, membres de l’équipe Project Zero chargée de trouver les bugs chez Google, ont découvert six failles présentes dans iOS. Nous savons bien que ces bugs permettent à des personnes malintentionnées de mettre des codes malveillants dans les iPhone ou iPad des victimes sans avoir besoin de leur autorisation. Ils n’ont qu’à envoyer un message malveillant au téléphone de la victime pour que cet exploit fonctionne.

Alors que quatre des vulnérabilités découvertes peuvent être utilisées dans ce processus d’exécution de code à distance « sans interaction », les deux autres permettent aux attaquants de lire les fichiers conservés sur l’appareil mobile piraté et de divulguer les données de sa mémoire.

Combinés, ces six bugs rendraient alors possible la prise de « contrôle » totale des données stockées sur l’iPhone de la victime sans que l’utilisateur n’ait fait quelque chose de dangereux. De plus, comme il n’y a pas d’antivirus pour iOS, il serait compliqué pour un utilisateur de détecter une activité malveillante ou de l’éviter.

De tels bugs sont vraiment particuliers et précieux pour les malfaiteurs. Par exemple, Zerodium a publié un graphique publiquement disponible qui révèle que les bugs de cette envergure peuvent coûter plus de 1 000 000 de dollars chacun. Plus on est de fous, plus on rit : ces prix sont encore plus élevés sur les appareils de ce type. Cela dit, ZDNet estime que le prix de l’ensemble de ces bugs pourrait s’établir entre 5 et 10 millions de dollars.

Les chercheurs ne divulguent pas les détails d’une de ces vulnérabilités, car selon eux, même iOS 12.4 n’y remédie pas. Quant au reste des détails sur ces bugs et des études de faisabilité sur comment ils peuvent être exploités par les cybercriminels, Silvanovich et Groß les révéleront lors de la prochaine conférence sur la sécurité de Black Hat aux États-Unis.

Dans tous les cas, ce qu’il y a de mieux et de plus pratique à faire pour chacun des utilisateurs d’iOS est d’installer immédiatement la version 12.4. N’hésitez pas non plus à le faire avec les versions suivantes d’iOS : elles corrigeront probablement les problèmes persistants liés à ces vulnérabilités.

  • Pour mettre à jour iOS, allez dans Réglages -> Général -> Mise à jour logicielle puis touchez Télécharger et Installer.