Un jour avant qu’Apple ne publie iOS 15 et d’autres nouvelles versions logicielles parallèlement au lancement de l’iPhone 13, la société a publié iOS 14.8 en tant que mise à jour d’urgence pour corriger un exploit qui aurait permis à un logiciel espion comme celui utilisé par le groupe israélien NSO d’infecter iPhones, montres Apple et ordinateurs Mac sans que les utilisateurs aient besoin de cliquer sur quoi que ce soit.
L’exploit est suffisamment grave pour qu’Apple ait sprinté pour le réparer depuis que la société en a été alertée mardi dernier par la société canadienne de cybersécurité Citizen Lab, selon le New York Times. En plus d’iOS 14.8, Apple a publié iPadOS 14.8, watchOS 7.6.2 et macOS Big Sur 11.6, qu’il est conseillé aux utilisateurs de télécharger immédiatement. On ne sait pas si l’exploit affecte les versions bêta des logiciels à venir comme iOS 15 (nous avons contacté Apple pour confirmer).
Le logiciel espion, appelé Pegasus, téléchargeait discrètement des fichiers PDF (intentionnellement mal étiquetés comme images .gif) sur les appareils des utilisateurs sans leur permission – et contrairement à d’autres codes malveillants, sans que les utilisateurs aient besoin de cliquer sur des liens suspects ou de télécharger manuellement des fichiers. Ainsi, ce type d’exploit « zéro clic » est encore plus dangereux, pouvant exister sur des appareils pendant des mois sans que les propriétaires ne s’en rendent compte.
Une fois les fichiers PDF téléchargés sur un appareil, Pegasus pourrait activer des caméras et des microphones, enregistrer des messages et d’autres communications (même cryptées) et transmettre ces informations à la société de cybersurveillance NSO Group – et éventuellement à ses clients.
Sommaire
Analyse : Mettre à jour iOS 14 ? Dans notre moment de triomphe d’iOS 15?
Si quelque chose vend l’importance de la mise à jour iOS 14.8, c’est qu’Apple a choisi de la précipiter avant iOS 15, que nous prévoyons d’arriver le 14 septembre ou peu de temps après le lancement de l’iPhone 13. Étant donné que chaque téléphone exécutant iOS 14 (iPhone 6S et plus récent) pourra télécharger le nouvel iOS 15, il est révélateur qu’Apple ait tout mis en œuvre pour le rendre disponible – et ne l’a même pas testé en version bêta, par 9to5Mac.
Pour être clair, la mise à jour iOS 14.8 est sans aucun doute beaucoup plus petite qu’iOS 15, et il en va de même pour les mises à jour mineures à venir sur iPadOS, watchOS et macOS – j’espère donc que cela facilitera la tâche des gens.
Comme mentionné précédemment, il n’est pas clair si cet exploit a fonctionné sur la version bêta publique d’iOS 15 et d’autres versions antérieures d’autres logiciels d’appareils ; puisque nous n’avons pas vu de mises à jour de blocage de logiciels espions similaires pour les versions bêta d’iOS 15 et d’iPadOS 15, nous devinerons que non. Mais Apple devient sage face à ce type d’exploit : la société a confirmé au New York Times qu’elle ajoutait des barrières contre les logiciels espions à sa prochaine mise à jour iOS 15 plus tard cette année.
