Une faille dans un demi-milliard d’iPhones aurait permis des vols de données pendant des années

Selon une société de sécurité, une faille aurait laissé plus d’un demi-milliard d’iPhones vulnérables aux hackers. Ce défaut existe également sur les tablettes de la marque à la pomme.

C’est à Zuk Avraham, directeur général de la société de sécurité mobile américaine ZecOps que l’on doit cette découverte. Apple ne le remerciera sans doute pas. Avraham a déclaré avoir trouvé des preuves que ce défaut avait été exploité dans au moins six intrusions de cybersécurité.

Il affirme même qu’un programme malveillant profitait de cette vulnérabilité du système d’exploitation mobile iOS d’Apple depuis janvier 2018. Ces hackers enverraient aux victimes un message électronique apparemment vierge par l’intermédiaire de l’application Mail, ce qui provoquerait un plantage et une réinitialisation du système. Ce crash ouvrirait alors la voie aux hackers pour voler d’autres données sur l’appareil, telles que des photos et des coordonnées personnelles.

Un secret de polichinelle

Le chercheur en sécurité ne s’arrête pas là et soupçonne que ce piratage ne s’inscrive dans une chaîne de programmes malveillants bien plus large (mais non découverts), ce qui aurait pu donner aux hackers un accès complet à distance. Apple a toutefois refusé de commenter cette perspective.

Certes, il ne s’agit que des trouvailles d’un seul homme, mais deux chercheurs en sécurité indépendants ont déjà jugé les preuves crédibles, bien qu’ils n’aient pas encore pu recréer ses conclusions.

‘Cette découverte confirme ce qui a toujours été un secret assez mal gardé: que des adversaires bien équipés peuvent infecter à distance et silencieusement des dispositifs iOS entièrement corrigés’, déclare Patrick Wardle, un expert en sécurité d’Apple et ancien chercheur de l’Agence de sécurité nationale américaine.

Lucratif

L’inconscience d’Apple quant à cette faille aurait d’ailleurs pu profiter aux gouvernements et entrepreneurs offrant des services de piratage. ‘L’exploitation de programmes qui fonctionnent sans avertissement contre un téléphone mis à jour peut valoir plus d’un million de dollars’, indique Reuters.

Dans la foulée, un porte-parole d’Apple a reconnu l’existence d’une vulnérabilité dans le logiciel gérant les e-mails sur les iPhones et iPads. Il assure que la société a développé une correction, qui sera déployée dans une prochaine mise à jour sur des millions d’appareils qu’elle a vendus dans le monde.

Il n’empêche que cette découverte reste ‘effrayante’, comme l’a qualifiée Bill Marczak, un chercheur en sécurité du Citizen Lab. Une faille qui expose plus d’un demi-milliard d’iPhones, ce n’est pas rien, surtout quand on sait qu’Apple déclarait en 2019 environ 900 millions d’iPhones en utilisation active dans le monde.

Lire aussi:

Plus