Des membres du Project Zero de Google ont découvert six failles dans l'application iMessage d'iOS. Le gros danger, c'est qu'elles permettent à un pirate de prendre le contrôle d'un appareil à distance sans action de l'utilisateur.
au sommaire
Deux membres du Project Zero de GoogleGoogle, une équipe d'experts en sécurité et chasseurs de bugsbugs viennent de dévoiler six failles dans iOS, le système d'exploitation mobilemobile d'AppleApple, qui peuvent être exploitées via l'applicationapplication iMessage. Les experts ont également publié une démonstration pour quatre des bugs, et indiquent que les six ne nécessitent aucune interaction de la part de l'utilisateur.
Quatre des failles, nommées CVE-2019-8641, CVE-2019-8647, CVE-2019-8660, et CVE-2019-8662 permettent l'exécution d'un code à distance. Un simple message envoyé à l'iPhone de la victime contenant une suite de caractères spécifiques permet de lancer un code qui donne à l'assaillant un accès à l'appareil, sans la moindre interaction de la part de l'utilisateur.
Une mise à jour déjà disponible
Pour les deux autres failles, CVE-2019-8624 et CVE-2019-8646, l'envoi d'un message spécialement conçu permet de lire le contenu de la mémoire de l'appareil et ainsi de voler des fichiers sur le mobile de la victime. Là encore, aucune interaction n'est nécessaire, puisque l'application iMessage décode une partie de message pour afficher la notification, ce qui suffit à déclencher la faille.
Les experts avaient alerté Apple dès la découverte de chaque faille. La firme a inclus un correctif pour les failles dans la mise à jour d'iOSiOS 12.4 publié le 22 juillet. Il est donc impératif de s'assurer que ses appareils sont à jour. Les chercheurs ont vérifié le fonctionnement du correctif avant de rendre les détails des failles publics. Ils viennent donc de dévoiler cinq des failles, mais pas celle nommée CVE-2019-8641 qui n'est toujours pas résolue.
