Apple bâcle la mise à jour d'iOS, laissant les iPhone ouverts au débridage illégal

  Posted On   By Bitdefender Team   Actualités de la cybersécurité

 

Pour la première fois depuis des années, des pirates ont pu exploiter une faille capable de jailbreaker (débrider illégalement) la dernière version mise à jour d’iOS.

Et une gaffe d’Apple leur a permis de le faire.

Le résultat ? Des millions d’utilisateurs d iPhone et d’iPad qui pensaient bien faire en mettant à jour leur appareil vers iOS 12.4 courent un risque accru d’être attaqués avec succès par des pirates du fait de cette vulnérabilité.

Normalement, les iPhone et les iPad dotés de la dernière version d’iOS sont bridés par Apple, ce qui empêche les utilisateurs d’installer du code qui n’a pas été examiné minutieusement par l’équipe de sécurité du fabricant et réduit les risques d’infiltration de logiciels malveillants sur les appareils.

Mais un iPhone ou un iPad jailbreaké ouvre la voie à l’installation d’applications iOS non autorisées et piratées, qui peuvent être conçues pour espionner vos communications ou même – potentiellement – retenir vos données contre une rançon.

Normalement, le code source d’un exploit jailbreak n’est pas rendu public avant qu’Apple a publié une mise à jour de sécurité pour l’empêcher de fonctionner.

Dans ce cas, cependant, les choses ne se sont pas passées comme prévu.

L’histoire commence en mars, lorsque le chercheur Ned Williamson découvre une faille de sécurité dans iOS. Cependant, il n’a rendu public les détails de la vulnérabilité qu’après la publication par Apple d’un correctif – sous la forme d’iOS 12.2 – en mai.

On aurait pu penser que l’histoire s’arrêterait là. Cependant, d’une façon ou d’une autre, Apple a réussi à annuler son propre correctif lorsqu’il a publié iOS 12.4 à la fin du mois de juillet.

Rappelez-vous, iOS 12.4 était une mise à jour de sécurité importante pour le système d’exploitation mobile d’Apple, car elle corrigeait une vulnérabilité critique qui pouvait permettre à un pirate distant d’attaquer un iPhone simplement en envoyant un iMessage conçu de manière malveillante.

Nous apprenons maintenant que, bien qu’Apple ait réussi à combler un trou de sécurité critique dans iOS 12.4, il en a involontairement rouvert un ancien.

Un chercheur en sécurité agissant anonymement sous le pseudo Pwn20wnd a rendu public un jailbreak qui exploite ce bug revenu d’entre les morts.

Une crainte évidente est que des gangs organisés de cybercriminels et des pirates d’État tentent d’exploiter cette vulnérabilité pour lancer des attaques, voler des données et espionner des personnes présentant un intérêt.

Pwn20wnd a déclaré à Motherboard : «Il est très probable que quelqu’un exploite déjà ce bug à des fins malveillantes».

Il ne fait aucun doute qu’Apple travaille fébrilement pour réparer la vulnérabilité une fois pour toutes et pour déterminer comment elle a pu commettre l’erreur de rouvrir une ancienne faille que  tout le monde pensait définitivement corrigée.

Lorsque Apple publie une mise à jour pour iOS, assurez-vous de l’installer le plus tôt possible… et espérez qu’elle ne contiendra aucune régression.

edit : la version iOS 12.4.1 corrigeant cette faille a été publiée depuis par Apple