Il est essentiel d’installer ses mises à jour d’iPhone très rapidement. Des chercheurs en sécurité de chez Google ont découvert six failles « sans interaction » sur iOS 12.3, corrigées dans la mise à jour du 22 juillet. Un bon rappel de l’importance des mises à jour.

On ne le répétera jamais assez : faites vos mises à jour dès que possible ! Alors que certains et certaines s’essayent déjà à la bêta d’iOS 13, les moins téméraires utilisent encore iOS 12 sur leur iPhone ou leur iPad. Il est cependant important de noter que cette version est vulnérable à six failles de sécurité importantes qui ne nécessitent aucune interaction de la part de la victime.

Six failles découvertes

Les failles de sécurité sont souvent difficiles à exploiter puisqu’elles nécessitent bien souvent une interaction de la part de la cible, comme un clic sur un lien par exemple. Or, ce n’est pas le cas des six défaillances de sécurité découvertes dans iOS par des membres du Project Zero, le programme de recherche de bug de Google.

Les six brèches en question peuvent être exploitées directement par le biais d’iMessage et prennent effet lorsque le message est tout simplement ouvert. Pour quatre des six failles en question, l’attaquant doit juste envoyer un message « malformé » à sa victime, permettant d’exécuter du code malicieux sur l’iPhone ciblé dès l’ouverture du message. Les deux dernières failles en question permettent de déborder de la mémoire afin d’accéder à des fichiers à distance sans la moindre action de la part de la victime.

Une mise à jour importante à installer

Réactif, Apple a déjà rectifié complètement cinq de ces failles dans iOS 12.4, la mise à jour déployée le 22 juillet. Il est cependant extrêmement important d’installer cette mise à jour, car des exemples de codes malicieux ont été fournis afin de démontrer l’efficacité de ces failles, et sont donc facilement reproductibles.

Enfin, la sixième brèche a été « patchée » dans cette même mise à jour, mais cette correction ne semble pas avoir résolu tous les bugs impliqués par cette faille. Aussi, l’exploit n’a pas encore été documenté.

Selon ZDNet, de telles failles s’échangeraient entre 2 et 4 millions de dollars à l’unité au marché noir.