Posté le janvier 12, 2020 à 6:17

DES HACKERS DE GOOGLE ONT PIRATÉ À DISTANCE IPHONE, LA VULNÉRABILITÉ ÉTANT DÉJÀ CORRIGÉE

Bien que les iPhones d’Apple soient connus pour être des appareils sécurisés, ils sont toujours vulnérables au piratage. Il y a quelques jours, l’équipe de sécurité de Google vient de révéler comment il pourrait être facile pour les hackers d’accéder à l’iPad ou à l’iPhone des utilisateurs à leur insu.

Avec le seul identifiant Apple de l’utilisateur, Samuel Groß a piraté à distance l’iPhone d’un utilisateur, révélant en quelques minutes ses e-mails, ses messages texte et ses mots de passe.

L’expert en sécurité et son équipe ont découvert une seule vulnérabilité appelée CVE-2019-8641 et l’ont utilisée pour explorer les options de piratage. Ils ont également activé la caméra et le microphone d’un iPhone d’Apple sans que l’utilisateur le sache.

Cela signifie qu’un utilisateur n’a pas besoin de cliquer sur un mail ou un lien malveillant avant que son iPhone ne soit piraté. Les hackers peuvent accéder à l’iPhone d’un utilisateur et à ses données personnelles sans que l’utilisateur n’ait à faire quoi que ce soit.

Nature de la vulnérabilité CVE-2019-8641

Le nom «CVE-2019-8641» peut ressembler au numéro de lot d’un produit. Mais c’est le nom de la vulnérabilité qui a permis à Google Groß d’avoir accès à un iPhone en utilisant les identifiants Apple de l’utilisateur. La vulnérabilité a été signalée pour la première fois en juillet de l’année dernière mais a été publiée le mois suivant. Elle faisait partie du projet de joint venture entre Natalie Silvanocich et Google’s Groß.

La vulnérabilité a été traitée initialement le 26 août de l’année dernière lorsqu’Apple a publié la mise à jour 12.4.1 de l’iOS. Mais elle a été complètement corrigée lors de la mise à jour 13.2 de l’iOS le 28 octobre de l’année dernière.

Pas besoin de s’inquiéter sur la vulnérabilité

Comme il a été dit précédemment, la faille qui a conduit au piratage a déjà été corrigée. Ainsi, les utilisateurs de l’iPhone n’ont pas à paniquer sur la question. Apple a depuis fait des mises à jour de l’iOS pour corriger la vulnérabilité. Cependant, ceux qui n’ont pas appliqué la mise à jour pourraient encore être vulnérables à une attaque similaire. Les utilisateurs doivent donc mettre à jour leur iPhones le plus rapidement possible.

Le Project Zero a également découvert d’autres vulnérabilités

Outre la vulnérabilité de l’iPhone, l’équipe du Project Zero de Google a découvert d’autres failles de sécurité diverses l’année dernière. Par exemple, les experts en sécurité ont révélé qu’il y avait une faille dans l’iMessage d’Apple, qui pouvait rendre un iPhone inefficace et forcer une réinitialisation d’usine.

De même, une vulnérabilité a été découverte en juillet de l’année dernière. Cette vulnérabilité peut permettre à un hacker de lire un fichier de l’iPhone sans que l’attaquant n’ait de contrôle physique sur l’iPhone.

L’équipe de Groß poursuit ses recherches intensives sur la sécurité

Le Project Zero fournit plus d’informations sur les recherches menées par l’équipe de Groß. La recherche vise à améliorer la sécurité globale des iPhones. Selon Google, l’équipe de recherche a été mise sur pied lors d’une conférence sur le piratage informatique l’année dernière, et le groupe a fait des découvertes très importantes qui ont permis d’améliorer la sécurité des iPhones.

Les chercheurs en sécurité ont également un blog où ils ont discuté d’un logiciel de sécurité aléatoire des données connu sous le nom d’ASLR. Selon l’équipe, le logiciel de sécurité a été installé pour fournir un bouclier contre les exploits de piratage. Cependant, le bouclier n’est pas bien puissant et peut être facilement contourné par des logiciels malveillants.

Groß veut qu’Apple mette en place des mesures de sécurité plus strictes

Groß demande à Apple d’être plus proactif et intensif dans la mise en place de nouvelles mesures de sécurité sur ses produits. L’équipe a réitéré que selon les recherches, les utilisateurs d’iPhone auraient pu être exposés à des tentatives de piratage très dangereuses si les failles n’étaient pas découvertes et corrigées à temps.

L’équipe a déclaré que les hackers seraient toujours à la recherche de vulnérabilités, même dans les endroits les plus sécurisés. M. Groß a déclaré qu’il faudrait mettre en place suffisamment de codes de sécurité sur l’interaction des utilisateurs, en particulier lorsque les utilisateurs reçoivent des messages d’expéditeurs inconnus.

Comme conseil aux utilisateurs, Groß a dit que les utilisateurs devraient guider jalousement leur identifiant Apple. Ils ne devraient jamais le partager avec d’autres, même s’ils sont proches. L’équipe a fait remarquer que même si l’on fait entièrement confiance à la tierce partie, on ne peut pas lui faire confiance pour être très prudent.

De plus, si l’utilisateur découvre que son identifiant fait défaut, il est important de sauvegarder rapidement ses données et d’envisager d’en obtenir un nouveau le plus rapidement possible. Selon M. Groß, c’est la seule façon de protéger les données et de s’assurer que les hackers n’atteignent pas l’utilisateur lorsqu’ils découvrent des vulnérabilités.