iOS : Google révèle 6 failles critiques, dont 5 corrigées par iOS 12.4

Apple

Par Remi Lou le

Le Google Project Zero a encore frappé. Cette fois, les chercheurs dévoilent six failles sur l’OS mobile d’Apple, même si cinq d’entre elles ont été bouchées avec la dernière version d’iOS parue le 22 juillet dernier. La dernière faille reste béante, et elle n’a pas été rendue publique.

Alors qu’Apple exagère souvent sur la sécurité de ses systèmes d’exploitation, au détriment d’Android, régulièrement épinglé pour des failles de sécurité, c’est cette fois-ci Google qui vient à la rescousse d’iOS pour révéler des failles sur le système d’exploitation mobile de son concurrent. Au total, les chercheurs du Google Project Zero ont pu dévoiler six failles de sécurité importantes. Celles-ci permettent à des malandrins de s’introduire dans l’iPhone de leur victime pour obtenir des données sensibles, ou tout du moins permettaient, puisque cinq de ces failles ont été corrigées avec iOS 12.4, la dernière version de l’OS d’Apple parue la semaine dernière.

Sur 6 failles, 4 concernaient iMessage

Ces failles, numérotées CVE-2019-8624CVE-2019-8646CVE-2019-8647CVE-2019-8660CVE-2019-8662 et CVE-2019-8641 ont été rendues publiques, à l’exception de la dernière qui n’a toujours pas été corrigée dans iOS 12.4. On parle ici de failles majeures, puisqu’il est possible pour le hacker de prendre le contrôle de l’appareil et d’en tirer des données sans que l’utilisateur ne se doute de quoi que ce soit, et surtout, sans qu’il n’ait besoin d’ouvrir un lien spécifique.

La plupart de ces vulnérabilités concernent iMessage, l’app de messagerie propriétaire d’Apple. Ainsi, un message contenant du code malveillant peut être exécuté par l’expéditeur pour prendre le contrôle de l’iPhone de son destinataire. Une autre faille concerne la mémoire de l’appareil exécutant iOS, et la dernière reste à corriger, même si Apple a été prévenu.

Dans tous les cas, ces failles sont sévères, et il est vivement conseillé de mettre à jour son iPhone dans les plus brefs délais, notamment car maintenant qu’elles sont publiques, les risques augmentent. Quant aux chercheurs du Google Project Zero, Natalie Silvanovich, l’une des chercheuses à l’origine de ces découvertes, donnera plus de détails sur ces failles à l’occasion du Black Hat, qui se tiendra à Las Vegas la semaine prochaine.