Apple : un simple iMessage permet de pirater un iPhone

Les voies des iPhone ne sont pas aussi impénétrables que certains le pensent. Natalie Silvanovich, une chercheuse de Google Project Zero, l’a démontré ce mercredi pendant la conférence Black Hat, une convention annuelle sur la sécurité informatique. Selon elle, nul besoin d’envoyer un lien malveillant ou de télécharger une application frauduleuse pour se faire pirater son smartphone. Un simple iMessage suffit, raconte Wired.

Ces failles de sécurité ont été découvertes début juillet. Depuis, Apple en a résolu six d’entre elles mais certaines sont encore exploitables. Par exemple, il était possible de "figer" un iPhone avec un simple iMessage. Restaurer l'appareil sur iTunes était l'unique solution pour y remédier. Les messages Apple sont moins sécurisés qu’un SMS classique car ils embarquent de nombreuses options de communication : Animoji, texte, photo, musique… Cette grande diversité de fonctionnalités augmente la probabilité d’erreurs et de faiblesses.

Le message n'a même pas besoin d'être ouvert 

L’équipe de chercheurs Google a découvert pléthore de bugs. Mais l’un d’entre eux est redoutable. Il aurait pu permettre à un pirate d’extraire des données de l’appareil (iPhone, iPad ou Mac) avec un simple iMessage. Le destinataire n’aurait même pas eu à ouvrir son application de messagerie pour que le piratage fonctionne. C’est ce qu’on appelle une "attaque sans interaction". Evidemment, iOS a mis en place des protections qui bloquent ce genre de piratage mais cette fois-ci, le système l’a considéré comme inoffensif et ne l’a pas bloqué.

Apple n’est pas la seule entreprise à être confronté à des problèmes de sécurité de ce genre. Depuis un an, l’entreprise CheckPoint Research alerte WhatsApp qu’une faille de sécurité permet à un attaquant d’envoyer des messages à la place de l’utilisateur. La plateforme appartenant à Facebook n’a toujours pas déployé de correctif. Ce même spécialiste israélien de la cybersécurité avait également découvert une brèche qui donnait à un pirate le pouvoir de lire et modifier les messages WhatsApp envoyés au sein d’un groupe ou d’une conversation privée. Une autre faille permettait d'espionner un smartphone par le biais d'un simple appel passé via l'application.

Quoi qu’il en soit, le mieux à faire pour se protéger de ses attaques est de garder à jour ses applications et son système d’exploitation. Mais malheureusement les utilisateurs ne peuvent pas faire grand-chose pour lutter contre ce type de piratage sans interaction. Il ne reste donc plus qu’à faire confiance aux développeurs.