Apple en alerte rouge. La firme à la pomme vient d'émettre des patchs afin de corriger trois vulnérabilités zero-day dans iOS. Ces dernières étaient déjà connues puisque exploitées il y a quelques années par un fournisseur de spyware israélien notamment contre Ahmed Manssor, défenseur des droits de l'homme aux Emirats Arabes Unis, et un journaliste d'investigation. Ces vulnérabilités peuvent permettre l'installation sur les terminaux d'Apple d'un spyware, connu sous le nom de Pegasus, permettant à un attaquant de voler un grand nombre de données tant sur des iPhone que des iPad.
« Le logiciel est hautement configurable, dépendant du pays d'utilisation et des sets de fonctions achetés par l'utilisateur », a indiqué Lookout Security dans un blog. « Les capacités de ce spyware incluent l'accès à la messagerie, appels, e-mails, logs et également Gmail, Facebook, Skype, WhatsApp, Viber, FaceTime, Calendar, Line, Mail.Ru, WeChat, SS, Tango et d'autres ». Les chercheurs en sécurité ont indiqué qu'une table de mapping de noyau dans le malware fait référence à iOS 7, lancé en septembre 2013, laissant penser que cet exploit est actif depuis plusieurs années. LookOut recommande aux utilisateurs de mettre à jour leurs terminaux vers iOS 9.3.5 ce qui ne va pas aller sans poser certains problèmes aux utilisateurs disposant d'anciens iPhone.
Un risque élevé de phishing
Les vulnérabilités exploitées sont CVE-2016-4655 (corruption de mémoire dans le webkit Safari), CVE-2016-4656 (cartographie de base du noyau) et CVE-2016-4657 (corruption de mémoire dans le noyau). « La séquence d'attaque suit un schéma de phishing classique : envoie de message texte, ouverture de navigateur, chargement de page, exploit de vulnérabilités, installation de logiciel malveillant pour récupérer de l'information », a indiqué Lookout.