Une nouvelle faille zero-day permet d’infecter iOS via l'application de messagerie
Des chercheurs ont découvert une grave faille de sécurité dans Mail, le programme de messagerie natif sur iOS pour iPhone et iPad. Si Apple ne voit aucun risque immédiat pour les utilisateurs, les spécialistes en cybersécurité recommandent de désactiver l’application.
Des chercheurs américains en sécurité ont découvert de graves failles de sécurité concernant les iPhone et les iPad dans l'application native Mail sur iOS. En Allemagne, l’Office fédéral de la sécurité des technologies de l'information (BSI) met également en garde les utilisateurs contre cette vulnérabilité.
Les cybercriminels sont capables d’injecter du code malveillant sur les appareils de leurs victimes à l’aide d’emails trafiqués. Il leur est ensuite possible de lire, modifier ou supprimer les courriers. Le BSI recommande d'utiliser d'autres applications de messagerie électronique ou de lire ses emails directement dans le navigateur en attendant que la faille soit comblée. En outre, la synchronisation du courrier devrait être temporairement désactivée, bien qu’il soit préférable de se passer complètement de l’application de messagerie d’Apple.
Apple veut combler la faille, mais ne voit pas de risques
Apple n'a ppas encore corrigé la vulnérabilité mais a l’intention de le faire lors d’une prochaine mise à jour. Cité par Reuters, Apple affirme que la vulnérabilité n’a pas été utilisée contre des clients et part du principe que les utilisateurs ne sont exposés à aucun risque immédiat.
La société de cybersécurité Zecops voit cependant les choses différemment et soupçonne que la faille ait déjà été exploitée. Sur son blog, la start-up répertorie anonymement les individus qui ont probablement subi une attaque via cette vulnérabilité. Outre une personnalité allemande et un journaliste européen, «un cadre d'une entreprise suisse» figure également sur la liste des victimes potentielles.
Une attaque qui laisse peu de traces
Toutes les versions du système depuis iOS 6, y compris la plus récente, seraient affectées par cette vulnérabilité. Alors que les utilisateurs d'iOS 12 doivent cliquer sur un email pour se faire pirater, iOS 13 ne nécessite aucune interaction de la part de la victime. Après une attaque réussie, les cybercriminels n’ont qu’à supprimer l’email qu'ils ont envoyé afin de ne laisser aucune trace. La version bêta iOS 13.4.5 devrait cependant réparer la faille, estime Zecops.
En cas d’attaques ratées, les emails vérolés se retrouvent dans la boîte de réception avec la mention «ce message n'a pas de contenu».
En outre, les indices sont rares pour pouvoir détecter une telle attaque. Sur iOS 12, l'application Mail peut parfois se bloquer soudainement, que l'attaque ait réussi ou non. Sur iOS 13, les utilisateurs pourraient ne remarquer qu'un ralentissement temporaire de l'application.
