{"id":12058,"date":"2019-08-01T10:33:21","date_gmt":"2019-08-01T10:33:21","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=12058"},"modified":"2019-11-22T08:48:26","modified_gmt":"2019-11-22T08:48:26","slug":"ios-critical-vulnerabilities-124","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/ios-critical-vulnerabilities-124\/12058\/","title":{"rendered":"T\u00e9l\u00e9chargez imm\u00e9diatement la mise \u00e0 jour iOS 12.4"},"content":{"rendered":"

C\u2019est toujours une bonne id\u00e9e de mettre \u00e0 jour le syst\u00e8me d\u2019exploitation de votre iPhone ou de votre iPad d\u00e8s qu\u2019une nouvelle version est disponible. Presque toutes les nouvelles versions d\u2019iOS r\u00e9solvent certains bugs trouv\u00e9s dans les anciennes. Mais cette fois, cela pourrait s\u2019av\u00e9rer d\u00e9terminant : iOS 12.4 corrige de graves vuln\u00e9rabilit\u00e9s de l\u2019application iMessage pouvant \u00eatre exploit\u00e9es sans que l\u2019utilisateur n\u2019ait \u00e0 interagir.<\/p>\n

Natalie Silvanovich<\/a> et Samuel Gro\u00df<\/a>, membres de l\u2019\u00e9quipe Project Zero charg\u00e9e de trouver les bugs chez Google, ont d\u00e9couvert six failles pr\u00e9sentes dans iOS. Nous savons bien que ces bugs permettent \u00e0 des personnes malintentionn\u00e9es de mettre des codes malveillants dans les iPhone ou iPad des victimes sans avoir besoin de leur autorisation. Ils n\u2019ont qu\u2019\u00e0 envoyer un message malveillant au t\u00e9l\u00e9phone de la victime pour que cet exploit fonctionne.<\/p>\n

Alors que quatre des vuln\u00e9rabilit\u00e9s d\u00e9couvertes peuvent \u00eatre utilis\u00e9es dans ce processus d\u2019ex\u00e9cution de code \u00e0 distance \u00ab\u00a0sans interaction\u00a0\u00bb, les deux autres permettent aux attaquants de lire les fichiers conserv\u00e9s sur l\u2019appareil mobile pirat\u00e9 et de divulguer les donn\u00e9es de sa m\u00e9moire.<\/p>\n

Combin\u00e9s, ces six bugs rendraient alors possible la prise de \u00ab\u00a0contr\u00f4le\u00a0\u00bb totale des donn\u00e9es stock\u00e9es sur l\u2019iPhone de la victime sans que l\u2019utilisateur n\u2019ait fait quelque chose de dangereux. De plus, comme il n\u2019y a pas d\u2019antivirus pour iOS<\/a>, il serait compliqu\u00e9 pour un utilisateur de d\u00e9tecter une activit\u00e9 malveillante ou de l\u2019\u00e9viter.<\/p>\n

De tels bugs sont vraiment particuliers et pr\u00e9cieux pour les malfaiteurs. Par exemple, Zerodium a publi\u00e9 un graphique publiquement disponible qui r\u00e9v\u00e8le que les bugs de cette envergure peuvent co\u00fbter plus de 1 000 000 de dollars chacun<\/em>. Plus on est de fous, plus on rit : ces prix sont encore plus \u00e9lev\u00e9s sur les appareils de ce type. Cela dit, ZDNet estime que le prix de l\u2019ensemble de ces bugs<\/a> pourrait s\u2019\u00e9tablir entre 5 et 10 millions de dollars.<\/p>\n

Les chercheurs ne divulguent pas les d\u00e9tails d\u2019une de ces vuln\u00e9rabilit\u00e9s, car selon eux, m\u00eame iOS 12.4 n\u2019y rem\u00e9die pas. Quant au reste des d\u00e9tails sur ces bugs et des \u00e9tudes de faisabilit\u00e9 sur comment ils peuvent \u00eatre exploit\u00e9s par les cybercriminels, Silvanovich et Gro\u00df les r\u00e9v\u00e9leront lors de la prochaine conf\u00e9rence<\/a> sur la s\u00e9curit\u00e9 de Black Hat aux \u00c9tats-Unis.<\/p>\n

Dans tous les cas, ce qu\u2019il y a de mieux et de plus pratique \u00e0 faire pour chacun des utilisateurs d\u2019iOS est d\u2019installer imm\u00e9diatement la version 12.4. N\u2019h\u00e9sitez pas non plus \u00e0 le faire avec les versions suivantes d\u2019iOS : elles corrigeront probablement les probl\u00e8mes persistants li\u00e9s \u00e0 ces vuln\u00e9rabilit\u00e9s.<\/p>\n