Apple corrige dans l’urgence une faille zéro day touchant iOS et iPadOS
avril 2021 par Benoit Grunemwald Expert en Cyber sécurité, ESET France
La faille est activement exploitée par des attaquants et affecte un large éventail d’appareils, y compris les iPhones, les iPads et les Apple Watches.
Apple a publié une mise à jour d’urgence pour ses systèmes d’exploitation iOS, iPadOS et watchOS afin de corriger une faille de sécurité de type zéro-day qui fait l’objet d’une exploitation active dans la nature. La vulnérabilité affecte plusieurs modèles d’iPhone, d’iPad, d’Apple Watch et d’iPod touch.
« Apple a connaissance de l’exploitation potentielle de cette faille de sécurité », précise l’avis de sécurité d’Apple décrivant la faille de sécurité qui est en train d’être colmatée avec les versions release iOS 14.4.2 et iPadOS 14.4.2.
La liste des appareils touchés comprend l’iPhone 6s et les versions ultérieures, toutes les versions de l’iPad Pro, l’iPad Air 2 et les versions ultérieures, la 5e génération d’iPad et les versions ultérieures, l’iPad mini 4 et les versions ultérieures, et la 7e génération de l’iPod touch. Le géant technologique basé à Cupertino a également publié des mises à jour de sécurité pour ses produits Apple Watch (watchOS 7.3.3).
Compte tenu de la gravité de la menace, Apple a également déployé une mise à jour (iOS 12.5.2) pour les anciens appareils tels que l’iPhone 5s et l’iPhone 6. Dans un souci de protection de ses clients, la société n’a communiqué aucune information sur les auteurs ou les cibles des attaques. Pendant ce temps, les équipes d’intervention en cas d’urgence informatique (CERT) des États-Unis, de Hong Kong, et de Singapour ont émis des alertes invitant les utilisateurs des appareils concernés à appliquer immédiatement les mises à jour.
Répertoriée comme CVE-2021-1879, la faille de sécurité réside dans WebKit, le moteur de navigateur web open-source d’Apple utilisé par le navigateur Safari, Mail et diverses autres applications iOS et iPadOS. « Le traitement d’un contenu Web malveillant peut conduire à un cross site scripting universel », précise la description du bug.
Selon CyberSecurityHelp, un attaquant distant capable de tromper sa victime en la faisant cliquer sur un lien spécialement conçu et d’exécuter du code arbitraire pourrait voler des données sensibles, réaliser une attaque de phishing ou de drive-by-download, ainsi que modifier l’apparence du site web.
Clément Lecigne et Billy Leonard, du groupe d’analyse des menaces de Google, sont à l’origine de la découverte et de la divulgation de la vulnérabilité. Ce n’est pas la première fois que les chercheurs en sécurité de Google mettent au jour un bogue affectant les appareils d’Apple. L’année dernière, par exemple, l’équipe Project Zero de Google a découvert un trio de vulnérabilités zéro-day affectant une longue liste de produits Apple. Plus tôt cette année, Apple a dû émettre une mise à jour d’urgence permettant de corriger trois failles zéro-day qui affectaient également un large éventail de ses produits.
Quelles sont nos recommandations :
1/ Si vous n’avez pas activé les mises à jour automatiques, vous pouvez mettre à jour votre iPhone et votre iPad manuellement en allant dans le menu Réglages, puis en appuyant sur Général, et en allant dans la section Mise à jour du logiciel.
2/ Activez les mises à jour automatiques, afin de bénéficier dès que possible des correctifs proposés par les fabricants.
3/ Vérifiez régulièrement que votre identité numérique n’est pas compromise. Vous pouvez utiliser le site https://haveibeenpwned.com/ qui recense les fuites de données majeures.