Les failles de sécurité de Mail n’auraient pas été exploitées… assure Apple

Les failles de Mail ne poseraient « aucun risque immédiat pour les utilisateurs ».

 

ZecOps, agence de sécurité californienne, annonçait ce mercredi avoir identifié deux failles critiques dont une exploitable sans intervention de l'utilisateur. Apple rétorque : il y a bien au moins une faille, mais elle n'aurait pas été exploitée et ne présenterait pas de danger immédiat en matière de sécurité.

Apple assure que les failles découvertes sur Mail ne sont pas encore exploitées. // Source : Laurenz Heymann – Unsplash

Si Apple confirme la présence d’au moins une faille dans son application Mail, installée par défaut sur iPhone et iPad, le groupe s’en tient pour l’heure à un constat assez différent de celui énoncé mercredi par l’agence de sécurité californienne ZecOps. Apple assure ainsi n’avoir trouvé « aucune preuve » que cette faille ait été utilisée pour faire du tort à ses clients et indique en outre qu’elle « ne pose aucun risque immédiat pour les utilisateurs ». À l’origine de la découverte ZecOps, parlait mercredi de deux vulnérabilités, dont une faille critique, ayant déjà été utilisées par des individus malveillants.

Plus d’un demi milliard d’iPhone potentiellement exposés

Contacté par l’agence de presse britannique Reuters, Zuk Avraham, CEO de ZecOps, maintient la version de son agence en promettant avoir trouvé la preuve d’au moins six intrusions réalisées par le biais des vulnérabilités mises en lumière sur Mail. L’intéressé ajoute même avoir découvert la trace d’un hacker ayant réussi à tirer parti de ces failles dès janvier 2018, sans pouvoir déterminer l’identité précise de ce dernier. Des déclarations que Reuters indique ne pas avoir pu vérifier de manière indépendante, mais qui pourraient avoir un impact pour plus de 500 millions d’iPhone à travers le globe.

Dévoilées ce mercredi par ZecOps, les failles de sécurité de Mail ont rapidement fait l’objet d’une réponse en bonne et due forme d’Apple, le même jour. La firme de Cupertino indiquait alors avoir développé un patch qui serait déployé globalement sur la prochaine version d’iOS 13 (iOS 13.4.5). Hier, Apple prenait toutefois le temps de contredire en partie les conclusions de Zuk Avraham.

ZecOps promet de rendre ses preuves publiques

« Nous avons étudié de manière approfondie le rapport du chercheur et, sur la base des informations fournies, nous avons conclu que ces questions ne posent pas de risque immédiat pour nos utilisateurs », estime Apple dans un communiqué adressé à Reuters. « Le chercheur a identifié trois problèmes dans Mail, mais à eux seuls, ils sont insuffisants pour contourner les protections de sécurité de l’iPhone et de l’iPad, et nous n’avons trouvé aucune preuve qu’ils aient été utilisés contre nos clients ».

ZecOps promet pour sa part de fournir toutes les preuves d’intrusion en sa possession lorsque Apple aura déployé sa mise à jour de sécurité. L’agence évoque notamment des attaques contre « plusieurs organisations », sans en dire plus pour le moment.

Les derniers articles