« Mettez à jour vos iPhone ! », enjoignent les chercheurs en cybersécurité depuis jeudi soir. Leur conseil vaut par ailleurs pour tous les appareils d'Apple (iPad, iWatch, Macs). En cause : la publication en urgence d'un correctif de sécurité par le géant de la tech, destiné à réparer deux failles informatiques critiques sur des logiciels embarqués sur tous ses produits récents. Exploitées correctement, ces vulnérabilités permettent à un cyberattaquant d'accéder à l'appareil de leur victime sans qu'elle ne le sache pour ensuite y déployer n'importe quel logiciel, afin de l'espionner ou lui voler des informations par exemple.
Apple a été averti du danger par le Citizen Lab, un laboratoire de référence en cybersécurité de l'Université de Toronto. Les chercheurs canadiens ont découvert une des deux failles en analysant l'iPhone d'un employé d'une association de défense des droits civiques, basée à Washington DC. Le smartphone était infecté par le célèbre logiciel espion Pegasus, dont le Citizen Lab est spécialiste. En remontant la trace de l'infection, ils ont abouti à une des deux failles. Mais bien que l'ampleur technique de l'incident soit importante, ses conséquences ne devraient pas toucher le grand public.
Pourquoi ces failles sont-elles particulièrement dangereuses ?
Pour commencer, les vulnérabilités réparées par le correctif sont qualifiées de zero day dans le jargon : elles ont été utilisées avant que Apple ne les découvre et puisse les réparer. Autrement dit, tous les appareils concernés étaient vulnérables, et n'avaient pas de protection par défaut, alors qu'au même moment au moins une méthode d'exploitation des failles circulait.
Ensuite, le cumul des deux failles permet de lancer une attaque zero click, c'est-à-dire une attaque qui fonctionne sans interaction de la part de la victime. Ce type d'attaque est le Graal des malfaiteurs, car elle peut être lancée dans la plus grande discrétion. A l'inverse, les scénarios de cyberattaque habituels, même avancés, nécessitent une interaction avec l'utilisateur, comme un clic sur un lien ou l'obtention d'informations pour accéder à ses comptes. Chacune de ces étapes supplémentaires demande un travail de persuasion ou de supercherie supplémentaire de la part des malfaiteurs, et fait peser le risque d'une prise de conscience de la victime.
Les failles concernent-elles le grand public ?
Pour l'instant, le seul cas connu d'exploitation des failles reste celui rapporté par le Citizen Lab. L'attaque visait un individu susceptible de détenir des informations stratégiques, comme l'écrasante majorité des victimes de logiciel espion. Si les chercheurs n'ont pas encore donné le détail du mode opératoire des attaquants, nous savons déjà qu'il nécessitait la création d'un fichier très particulier, ce qui n'est pas à la portée de n'importe quel hacker. Autrement dit, le risque que l'attaque soit connue par un nombre significatif d'acteurs malveillants semble très faible.
Et ce n'est pas tout : par définition, les vulnérabilités zero day ont de valeur tant qu'elles restent inconnues, ce qui signifie que les cyberattaquants ont intérêt à trier un nombre de cibles réduit, parmi celles susceptibles de leur apporter le plus de valeur. De part leur nature, les zero day s'arrachent à prix d'or (jusqu'à plusieurs centaines de milliers de dollars, le plus souvent au marché noir), d'autant plus si elles permettent de lancer des cyberattaques aussi efficaces que celle découverte par les chercheurs.
Lors de l'éclatement de la polémique autour de NSO Group et son logiciel espion Pegasus en 2021, la presse américaine avait révélé que l'entreprise israélienne embauchait plusieurs centaines de spécialistes de la cybersécurité pour découvrir des zero day de ce genre. Puis elle faisait payer à ses clients jusqu'à plus d'un million de dollars par infection de smartphone réussie.
Pourquoi Apple sonne-t-il l'alerte ?
Si Apple appelle à mettre à jour ses appareils, c'est avant tout par principe de précaution. Car une fois le correctif publié, les malfaiteurs obtiennent de précieuses informations sur les failles, et peuvent tenter de les exploiter avant que les utilisateurs déploient les réparations. Mais dans ce cas précis, Apple et le Citizen Lab sont restés avares en détails techniques.
De leur côté, les chercheurs du Citizen Lab conseillent « à toutes les personnes qui font face à des risques accrus à cause de qui ils sont ou de ce qu'ils font » d'activer le « Lockdown Mode », la fonctionnalité de protection renforcée des iPhones déployée en 2022, qui suffirait à empêcher l'exploitation des vulnérabilités.
Depuis le début de l'année, Apple a dû corriger par moins de 13 failles zero day sur ses smartphones. Elles étaient exploitées dans pas moins de cinq scénarios d'attaque différents. Mais celle réparée jeudi reste de loin la plus dangereuse, et pour l'instant aucune des failles n'a mené à des séries de cyberattaques contre le grand public.
Les jeunes, nouveaux invisibles de la République (40)
Sujets les + commentés