histats

Une faille de sécurité Apple «exploitée activement» par des pirates pour contrôler pleinement les appareils | Pomme

Les utilisateurs d’Apple ont été invités à mettre à jour immédiatement leurs iPhones, iPads et Mac pour se protéger contre une paire de vulnérabilités de sécurité qui pourraient permettre aux attaquants de prendre le contrôle total de leurs appareils.

Dans les deux cas, a déclaré Apple, il existe des rapports crédibles selon lesquels les pirates abusent déjà des vulnérabilités pour attaquer les utilisateurs.

L’une des vulnérabilités logicielles affecte le noyau, la couche la plus profonde du système d’exploitation partagée par tous les appareils, a déclaré Apple. La seconde concerne WebKit, la technologie sous-jacente du navigateur Safari.

Pour chacun des bugs, la société a déclaré qu’elle était “au courant d’un rapport selon lequel ce problème aurait pu être activement exploité”, bien qu’elle n’ait pas fourni plus de détails. Il a crédité un ou plusieurs chercheurs anonymes d’avoir révélé les deux.

Toute personne possédant un iPhone sorti depuis 2015, un iPad sorti depuis 2014 ou un Mac exécutant macOS Monterey peut télécharger la mise à jour en ouvrant le menu des paramètres sur son appareil mobile ou en sélectionnant “mise à jour logicielle” dans le menu “à propos de ce Mac” sur leur l’ordinateur.

Rachel Tobac, PDG de SocialProof Security, a déclaré que l’explication d’Apple sur la vulnérabilité signifiait qu’un pirate pouvait obtenir “un accès administrateur complet à l’appareil” afin qu’il puisse “exécuter n’importe quel code comme s’il était vous, l’utilisateur”.

Ceux qui devraient accorder une attention particulière à la mise à jour de leur logiciel sont “les personnes qui sont aux yeux du public”, comme les militants ou les journalistes qui pourraient être la cible d’un espionnage sophistiqué de l’État, a déclaré Tobac.

Jusqu’à ce que le correctif soit publié mercredi, les vulnérabilités auraient été classées comme bogues “zéro jour”, car un correctif était disponible pour eux depuis zéro jour. Ces vulnérabilités sont extrêmement précieuses sur le marché libre, où les cyber-courtiers en armes les achètent pour des centaines de milliers ou des millions de dollars.

Le courtier Zerodium, par exemple, paiera « jusqu’à 500 000 $ » pour une faille de sécurité qui peut être utilisée pour pirater un utilisateur via Safari, et jusqu’à 2 millions de dollars pour un logiciel malveillant entièrement développé qui peut pirater un iPhone sans qu’un utilisateur ait cliquer sur quelque chose. La société affirme que les clients de ces vulnérabilités sont “des institutions gouvernementales (principalement d’Europe et d’Amérique du Nord)”.

Les sociétés commerciales de logiciels espions telles que le groupe israélien NSO sont connues pour identifier et exploiter ces failles, les exploitant dans des logiciels malveillants qui infectent furtivement les smartphones des cibles, siphonnent leur contenu et surveillent les cibles en temps réel.

Le groupe NSO est mis sur liste noire par le département américain du Commerce. Des logiciels espions sont connus pour avoir été utilisés en Europe, au Moyen-Orient, en Afrique et en Amérique latine contre des journalistes, des dissidents et des militants des droits de l’homme.

Will Strafach, chercheur en sécurité, a déclaré n’avoir vu aucune analyse technique des vulnérabilités qu’Apple vient de corriger. La société a déjà reconnu des failles graves similaires et, sur ce que Strafach a estimé être peut-être une douzaine de fois, a noté qu’elle était au courant de rapports selon lesquels de telles failles de sécurité avaient été exploitées.

See also  Qu'est-ce que Samsung Knox ? Comment protège-t-il votre vie privée ?

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *