Si Apple a une bonne réputation lorsqu’il s’agit de sécurité, cela n’empêche pas la marque à la pomme de faire face à quelques failles. Plutôt conséquente, la dernière en date a été découverte le chercheur en cybersécurité Ryan Pickren.
Comme l’indique celui-ci, la vulnérabilité concerne les webcams des appareils de la société américaine. L’entreprise a déployé un correctif qui ne permet plus d’exploiter les caméras de la sorte.
Une faille qui concernait les iPhone et les ordinateurs d’Apple
Cette faille zero-day, c’est-à-dire jamais découverte dans le passé et non sujette à un correctif, permettait à des personnes mal intentionnées d’activer des webcams à distance sans que l’utilisateur de l’appareil n’en soit informé. Autant dire, donc, que la vulnérabilité était plutôt critique.
Pour l’exploiter, Ryan Pickren a créé un site web qu’il a ensuite affiché dans Safari, le navigateur d’Apple. Le site web se faisait passer pour une plateforme ayant déjà obtenu les autorisations nécessaires pour accéder à la caméra et au micro de l’appareil de l’utilisateur. De cette façon, ce dernier n’avait pas de notification ou autre message s’affichant pour lui demander une validation.
Le chercheur résume : « Safari encourage les utilisateurs à enregistrer leurs préférences pour les autorisations de site, par exemple pour savoir s’il faut faire confiance à Skype pour l’accès au microphone et à la caméra. Donc, ce qu’un attaquant pourrait faire avec séquence, c’est créer un site web malveillant qui, du point de vue de Safari, pourrait ensuite se transformer en ‘Skype’. Et le site malveillant aura alors toutes les autorisations que vous avez accordées à Skype, ce qui signifie qu’un attaquant pourrait commencer à prendre des photos de vous ou à allumer votre microphone ou même à partager votre écran ».
Au total, le hack de la webcam se faisait en huit étapes, sachant que cette méthode était efficiente aussi bien sur iOS que sur macOS. La personne mal intentionnée n’avait qu’à envoyer le lien malveillant à la victime et attendre qu’elle finisse par cliquer dessus.
Apple a été informé de cette faille à la fin de l’année 2019, suite à quoi il a déployé un correctif en janvier et en mars. De son côté, Ryan Pickren a gagné le montant de 75 000 dollars dans le cadre du programme de bug bounty qui récompense les hackers qui découvrent de nouvelles failles.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.