iMessage, au coeur de l’expérience des iPhone, donne souvent un faux sentiment de sécurité – alors que comme le souligne le chercheur, dans certains cas, l’application de messagerie exécute automatiquement du code arbitraire même lorsque le message est en provenance de contacts inconnus. Le chercheur note que des messageries concurrentes, notamment celle de Twitter et de Facebook, séparent les messages reçus de vos amis de ceux envoyés par des contacts inconnus. Ces derniers sont d’ailleurs cachés, et il faut faire l’effort d’aller dans une boîte de réception spéciale pour les ouvrir.
Ce que les utilisateurs font rarement puisqu’ils savent que la majeure partie de ces messages sont du spam ou des tentatives d’escroqueries. Or cette pratique a pour effet de limiter le risque que des failles 0-day puissent être exploitées en “zero click” (c’est à dire sans intervention consciente de l’utilisateur). Car actuellement, il suffit simplement d’envoyer un message vérolé avec du code exploitant des failles 0-day à un inconnu pour que le code en question soit exécuté. Ce qui a permis à NSO Group, la firme israélienne qui édite le logiciel d’espionnage Pegasus d’infecter le smartphone de nombreuses victimes de premier plan, dont le téléphone portable d’Emmanuel Macron.
iMessage reste criblé de failles de sécurité “majeures”
Le chercheur concède néanmoins que ces problèmes sécuritaires ne sont pas, pour l’heure, un problème majeur pour le commun des utilisateurs. Les cibles de firmes d’espionnage comme NSO Group sont en effet triées sur le volet. Il s’agit le plus souvent de personnalités, d’activistes, de politiciens… dit autrement les utilisateurs lambda n’intéressent pas ce spécialiste de l’espionnage. Le chercheur ajoute : “pourtant, si Apple ne tue pas cela dans l’oeuf, ces genre d’attaques zéro-click via iMessage va inévitablement proliférer tout en devenant accessible à des hackers moins expérimentés, c’est à dire la plupart des cybercriminels”.
Outre le fait qu’il est possible de conduire un iPhone à exécuter du code arbitraire simplement en lui envoyant un message par iMessage, Bill Marczak relève la présence de plusieurs failles de sécurité majeures dans l’application. Il y a d’abord selon lui un problème avec la framework BlastDoor qui est censée segmenter le contenu reçu dans iMessage, justement pour éviter l’exécution de code arbitraire. Il ajoute que des exploits abusent de ImageIO – un composant autour duquel “plus d’une douzaine de bugs critiques ont été signalés en 2021”.
iOS 15 doit résoudre une partie de ces problèmes. Mais il reste à démontrer dans quelle mesure. Apple de son côté défend dans un une déclaration à nos confrères de Forbes la sécurité de iMessage et son action pour lutter contre les failles de sécurité. “Apple condamne sans détour les cyberattaques contre les journalistes, défenseurs des droits humaines et tout ceux qui cherchent à faire du monde un endroit meilleur. Depuis plus de 10 ans, Apple a fait office de leader industriel en matière d’innovations autour de la sécurité, et grâce à cela, les experts en sécurité sont d’accord pour dire que l’iPhone est l’appareil mobile grand public le plus sûr et le plus sécurisé du marché”.
Lire aussi – Pegasus : une nouvelle faille de sécurité majeure découverte dans les iPhone
La firme ajoute “les attaques comme celle [de Pegasus] sont hautement sophistiquées, coûtent des millions de dollars à développer, ont souvent une durée de vie limitée et sont utilisées pour cibler des individus spécifiques. Bien que cela signifie que ces attaques ne menacent pas l’écrasante majorité de nos utilisateurs, nous continuons à travailler sans relâche pour défendre tous nos clients, et nous ajoutons constamment de nouvelles protection pour leurs appareils et données”.
It also indicates that Apple has a MAJOR blinking red five-alarm-fire problem with iMessage security that their BlastDoor Framework (introduced in iOS 14 to make zero-click exploitation more difficult) ain't solving.
— Bill Marczak (@billmarczak) July 18, 2021
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
