Mise à jour de sécurité importante des iPhone et iPad

Comme tous les systèmes d’exploitation, iOS contient des failles de sécurité. Et certains sont particulièrement acharnés pour les trouver. C’est le cas de la dernière en date, corrigée grâce à la mise à jour 9.3.5.

L’origine de la faille

Cette faille (ces failles en réalité) n’a pas été trouvée par un hacker quelconque dans sa chambre d’étudiant.

Elle a été trouvée par l’organisation israélienne NSO Group qui a pour spécialité la cyber-guerre. En gros, des entreprises et des gouvernements ont investi – probablement des millions de dollars – pour trouver la faille permettant d’espionner journalistes et activistes.

C’est d’ailleurs Ahmed Mansoor, un défenseur des droits de l’homme, qui en a été la victime et qui a permis de détecter et combler cette faille.

Le pauvre homme a reçu le 10 août un SMS avec un lien suspect. Au lieu de cliquer sur le lien, il a contacté l’organisation Citizen Lab (défense des droits numériques) qui a demandé à la société Lookout (sécurité mobile) d’analyser la chose.

C’est là qu’ils ont découvert le spyware (logiciel d’espionnage) Pegasus, vendu aux gouvernements et aux entreprises prêt(e)s à payer le prix fort pour espionner leurs cibles.

Pegasus

Pegasus est un outil reposant en réalité sur 3 failles :

  1. CVE-2016-4655 : une faille permettant de calculer la position du noyau (le coeur du système) en mémoire
  2. CVE-2016-4656 : une faille permettant – à partir de l’accès au noyau – de jailbreaker (faire sauter les verrous du système) l’iPhone sans que l’utilisateur ne s’en rende compte
  3. CVE-2016-4657 : une faille permettant d’accéder à un espace mémoire spécifique depuis Safari

En gros, les hackers procèdent ainsi :

  1. Un lien est envoyé
  2. L’utilisateur ciblé clique sur le lien
  3. Le lien s’ouvre dans Safari
  4. La page de destination contient un code permettant d’accéder à la mémoire (via la faille CVE-2016-4657)
  5. L’espace mémoire ciblé (le noyau) est calculé grâce à la faille CVE-2016-4655
  6. La sécurité du noyau saute grâce à la faille CVE-2016-4655
  7. Des données sont écrites dans cet espace mémoire de sorte à faire sauter les sécurités du système
  8. Une fois le système déverrouillé, le logiciel espion est installé sans que l’utilisateur ne s’en soit rendu compte
  9. Les données transitent à volonté, car tout le système est ouvert.

Bref : Pegasus n’est pas cool.

iOS n’est donc pas sécurisé ?

Cette attaque démontre le contraire.

Il n’a pas fallu une mais trois failles de sécurité pour pouvoir installer un logiciel malveillant.

Si l’une des trois failles n’avait pas été trouvée, le système n’aurait pas pu être attaqué.

Également, Apple a été informée de la faille le 10 août. iOS a été corrigé en 15 jours. Et la mise à jour a été diffusée dans la foulée, sur tous les appareils concernés.

Pour une prochaine attaque (et il y en aura forcément une), il faudra encore trouver plusieurs failles.

Sachant qu’en parallèle iOS 10 va sortir dans les prochaines semaines avec de nouveaux mécanismes de sécurité :

  • par défaut, pas de support du SSL non sécurisé (oui, c’est paradoxale, mais véridique)
  • nouvelles options pour sécuriser le contenu web au sein des apps
  • l’intégration du support de Certificate Transparency au sein des apps (complément au SSL)
  • etc

Globalement, c’est une course contre la montre. Mais Apple s’en sort très très bien, même si on voit aujourd’hui qu’il ne faut pas relâcher l’effort.

Que puis-je faire pour garantir ma sécurité ?

Les règles sont simples :

  • protéger ses comptes (email, Apple, Facebook, Twitter, etc) avec un maximum de sécurité
  • protéger l’accès à son iPhone
  • mettre à jour l’iPhone régulièrement
  • utiliser des outils comme Lookout afin de s’assurer que tout va bien.

En suivant ces quelques règles de base, on s’en sort plutôt bien et ça ne prend pas spécialement de temps en plus au quotidien.

On ne le dira jamais assez : protégez-vous !

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s