Cela fait des années que les iPhone peuvent être piratés, prévient Google
Selon des chercheurs de Google Project Zero, des pirates utilisent depuis des années des sites web compromis pour installer des malwares sur les iPhone et subtiliser les photos, la géolocalisation en temps réel ou le contenu des messageries.
Les chercheurs de l’équipe de sécurité Google Projet Zero ont révélé la découverte de sites internet piratés qui, pendant des années, ont hébergé une série d’exploits sous forme de malware et affectant les iPhone depuis iOS 10 (sorti en 2016) jusqu’à la version actuelle, iOS 12.
«Il n'y avait pas de sélection dans les cibles », explique l’expert en sécurité de Google Project Zero Ian Beer, qui réside actuellement en Suisse. «Il suffit de visiter le site piraté pour que le serveur attaque votre appareil et, s’il y parvient, qu'il installe un logiciel de surveillance. Nous estimons que ces sites reçoivent des milliers de visiteurs par semaine».
Une fois qu'un utilisateur a visité l'un des sites malveillants et que le malware a été déployé, celui-ci vole les fichiers et télécharge les données de localisation GPS en temps réel une fois toutes les 60 secondes. Les pirates ont également accès au contenu des messageries telles que WhatsApp, Facebook ou iMessage, aux photos, liste des contacts et au Trousseau d’accès qui stocke les identifiants et mots de passe de l’utilisateur.
Quatorze vulnérabilités au total
L'équipe de Google a pu isoler 5 méthodes d'exploitation de failles allant de iOS 10 à iOS 12, pour un total de quatorze vulnérabilités. Sept d’entres elles concernent le navigateur web Safari, cinq le noyau du système (ou kernel) et deux qui contournent le sandboxing. À chaque révision d'iOS ou lors de mises à jour de sécurité, les attaquants changeaient de méthode pour s’adapter à ces évolutions.
Bien que le malware devienne inopérant lors du redémarrage de l’iPhone, Ian Beer note que les pirates peuvent être en mesure de maintenir un accès persistant aux divers comptes et services d'une victime en utilisant ses identifiants.
L’expert en sécurité se montre sévère quant aux failles qui ont permis la création de ces exploits. Selon lui, les causes profondes ne sont pas nouvelles et souvent négligées. Il cite le cas de code buggé, qui a échappé aux contrôles de qualité ou qui n’a pas été suffisamment testé.
Google a informé Apple de ce problème le 1er février 2019, lui offrant un délai de sept jours pour boucher les failles. La firme à la pomme a par la suite publié un correctif avec iOS 12.1.4 le 7 février.
