Faites vos mises à jour dès maintenant pour colmater les failles de vos produits Apple

Se vantant de concevoir les produits les plus sûrs, Apple marche depuis des semaines avec un gros caillou dans ses souliers : NSO. 

NSO Group, c’est la société informatique israélienne qui exploite depuis longtemps une importante faille de sécurité dans les produits iOS des iPhone et iPad pour pays peu scrupuleux prêts à payer des millions de dollars à celle-ci pour espionner ses compatriotes, journalistes et autres militants des droits de la personne.

Aujourd’hui, et il était temps, la triple mise à jour macOS, iOS et watchOS publiée hier, une journée avant la sortie des nouveaux iPhone 13, vient colmater cette brèche qui serait concentrée dans l’application de messagerie iMessage.

Le système macOS passe donc à la version 11.6, iOS à 14.8 et watchOS à 7.6.2. Ces mises à jour sont censées fermer la vulnérabilité zero day découverte par Citizen Lab dans certains iPhone de journalistes.

Une faille ou vulnérabilité du jour zéro (terme technique du Grand Dictionnaire terminologique) désigne une « vulnérabilité informatique dont l'existence n'est pas encore connue de l'éditeur de logiciels ou du fournisseur de services, ou pour laquelle aucun programme de correction n'a été conçu ».

Le mois dernier, Citizen Lab a déclaré que la faille de type jour zéro exploitait une faille dans iMessage d'Apple qui servait à envoyer le logiciel espion Pegasus développé par la société israélienne NSO Group dans les iPhone.

Le fameux logiciel espion Pegasus donnait ainsi à ses clients gouvernementaux un accès quasi complet à l'appareil d'une cible, y compris à ses données personnelles, ses photos, ses messages et sa localisation.

Un trou dans BlastDoor   

Pour Apple si fière d’offrir des produits censés être les plus blindés contre les pirates informatiques, cette faille dans ses produits apparaissait comme une grosse tache à son image, et ce jusqu’à ses derniers logiciels avant cette triple mise à jour.

La brèche était importante, car les failles exploitaient le dernier logiciel de l'iPhone à l'époque, à savoir iOS 14.4 et iOS 14.6, publié par Apple en mai. Mais l'exploitation de la faille a également permis de contourner les nouvelles défenses de l'iPhone qu'Apple avait intégrées à iOS 14, appelées BlastDoor, qui étaient censées empêcher les attaques silencieuses en filtrant le code potentiellement malveillant.

Le chef de la sécurité chez Apple, Ivan Krstic, a publié son commentaire disant « après avoir identifié la vulnérabilité utilisée par cet exploit pour iMessage, Apple a rapidement développé et déployé un correctif dans iOS 14.8 pour protéger nos utilisateurs. Nous tenons à féliciter Citizen Lab d'avoir mené à bien le travail très difficile consistant à obtenir un échantillon de cet exploit afin que nous puissions développer rapidement ce correctif. Les attaques comme celles décrites sont très sophistiquées, leur développement coûte des millions de dollars, leur durée de vie est souvent courte et elles sont utilisées pour cibler des personnes spécifiques. Bien que cela signifie qu'elles ne constituent pas une menace pour l'écrasante majorité de nos utilisateurs, nous continuons à travailler sans relâche pour défendre tous nos clients, et nous ajoutons constamment de nouvelles protections pour leurs appareils et leurs données ».

Faites vos mises à jour dès aujourd’hui.