Les mises à jour iOS 14.8 et iPadOS 14.8 réparent une faille qui aurait été exploitée pour espionner des appareils avec le logiciel Pegasus. Selon Citizen Lab, une vulnérabilité pourrait permettre à des attaquants d’espionner des utilisateurs de produits Apple sans qu’ils aient besoin de cliquer sur quoi que ce soit.
Comme l’explique la firme, cette mise à jour apporte des correctifs de sécurité importants et elle est recommandée pour tous les utilisateurs. Simultanément, et pour les mêmes raisons, de nouvelles mises à jour sont également publiées pour macOS et watchOS.
Les chercheurs de Citizen Lab ont découvert un exploit de type “zero-day” et “zero-click”, de la société de logiciels espions NSO Group, qui donnerait à de potentiels attaquants un accès complet à la caméra, au micro, aux messages, aux textes, aux courriels, aux appels, etc. d’un appareil.
Citizen Lab précise dans son rapport que la vulnérabilité – étiquetée CVE 2021-30860 – affecte tous les iPhone avec des versions d’iOS antérieures à 14.8, tous les ordinateurs Mac avec des versions de système d’exploitation antérieures à OSX Big Sur 11.6, Security Update 2021-005 Catalina et toutes les Apple Watch antérieures à watchOS 7.6.2. Apple ajoute qu’il affecte tous les modèles d’iPad Pro, l’iPad Air 2 et plus, l’iPad 5e génération et plus, l’iPad mini 4 et plus, et l’iPod touch 7e génération.
Lorsqu’Apple avait lancé BlastDoor, il avait été félicité par Google. « Dans l’ensemble, ces changements sont probablement très proches des meilleurs qui auraient pu être réalisés compte tenu du besoin de compatibilité ascendante, et ils devraient avoir un impact significatif sur la sécurité d’iMessage et de la plate-forme dans son ensemble », avait écrit un responsable sur le site du projet Zero de Google. Pourtant, ces mesures ont pu être contournées via cette attaque
« Apple condamne sans équivoque les cyberattaques contre les journalistes, les militants des droits humains et d’autres qui cherchent à rendre le monde meilleur… Des attaques comme celles décrites sont très sophistiquées, coûtent des millions de dollars à développer, ont souvent une courte durée de vie et sont utilisées pour cibler individus spécifiques. Bien que cela signifie qu’ils ne constituent pas une menace pour l’écrasante majorité de nos utilisateurs, nous continuons à travailler sans relâche pour défendre tous nos clients, et nous ajoutons constamment de nouvelles protections pour leurs appareils et leurs données », avait indiqué la firme de Cupertino.
