Une fois de plus, les opérateurs du célèbre logiciel espion Pegasus ont réussi à infecter l'iPhone d'une de leur cible. Pour y parvenir, ils ont exploité deux vulnérabilités critiques, corrigées en urgence par Apple jeudi soir. Explications.« Mettez à jour vos iPhone ! », enjoignent les chercheurs en cybersécurité depuis jeudi soir. Leur conseil vaut par ailleurs pour tous les appareils d'Apple (iPad, iWatch, Macs). En cause : la publication en urgence d'un correctif de sécurité par le géant de la tech, destiné à réparer deux failles informatiques critiques sur des logiciels embarqués sur tous ses produits récents. Exploitées correctement, ces vulnérabilités permettent à un cyberattaquant d'accéder à l'appareil de leur victime sans qu'elle ne le sache pour ensuite y déployer n'importe quel logiciel, afin de l'espionner ou lui voler des informations par exemple.
Apple a été averti du danger par le Citizen Lab, un laboratoire de référence en cybersécurité de l'Université de Toronto. Les chercheurs canadiens ont découvert une des deux failles en analysant l'iPhone d'un employé d'une association de défense des droits civiques, basée à Washington DC. Le smartphone était infecté par le célèbre logiciel espion Pegasus, dont le Citizen Lab est spécialiste. En remontant la trace de l'infection, ils ont abouti à une des deux failles. Mais bien que l'ampleur technique de l'incident soit importante, ses conséquences ne devraient pas toucher le grand public.
Pourquoi ces failles sont-elles particulièrement dangereuses ?
Pour commencer, les vulnérabilités réparées par le correctif sont qualifiées de zero day dans le jargon : elles ont été utilisées avant que Apple ne les découvre et puisse les réparer. Autrement dit, tous les appareils concernés étaient vulnérables, et n'avaient pas de protection par défaut, alors qu'au même moment au moins une méthode d'exploitation des failles circulait.
Ensuite, le cumul des deux failles permet de lancer une attaque zero click, c'est-à-dire une attaque qui fonctionne sans interaction de la part de la victime. Ce type d'attaque est le Graal des malfaiteurs, car elle peut être lancée dans la plus grande discrétion. A l'inverse, les scénarios de cyberattaque habituels, même avancés, nécessitent une interaction avec l'utilisateur, comme un clic sur un lien ou l'obtention d'informations pour accéder à ses comptes. Chacune de ces étapes supplémentaires demande un travail de persuasion ou de supercherie supplémentaire de la part des malfaiteurs, et fait peser le risque d'une prise de conscience de la victime.