Les données de votre iPhone sont peut-être dans la nature à cause d’une vaste attaque passée inaperçue

Publié le

Des chercheurs en sécurité de Google ont découvert que des sites frauduleux avaient injecté des logiciels malveillants sur des iPhone à l’insu des utilisateurs et ce, sur une période d’au moins deux ans. Il pourrait s’agir de l’une des plus grandes attaques jamais perpétrées à l’encontre de la vie privée des utilisateurs d’iPhone.

Les hackers ont exploité plusieurs failles d’iOS

Plusieurs sites malveillants ont été recensés par les experts en sécurité du Project Zero de Google. Les chercheurs déclarent que ces sites ont utilisé 5 séquences d’attaques (chaines) inconnues jusque-là pour pirater les iPhone.

faille iOS

Ces chaines auraient permis d’exploiter pas moins de 14 vulnérabilités présentes sur toutes les versions d’iOS 10, jusqu’à iOS 12. Ces failles étaient majoritairement présentes dans Safari (le navigateur maison d’Apple) et le noyau d’iOS.

Google a évidemment averti Apple qui a publié les correctifs dans la mise à jour iOS 12.1.4 en février dernier, 6 jours après avoir été informé. Selon Ian Beer, chercheur du Project Zero, il suffisait de visiter le site piraté pour que le serveur malveillant attaque l’appareil. S’il y parvenait, un code malveillant était injecté, il permettait alors le monitoring de l’iPhone. Selon les estimations des spécialistes, les sites recensés auraient été visités des milliers de fois par semaines.

L’attaque ciblait les données personnelles des utilisateurs

En ce qui concerne l’aspect purement technique, les séquences d’attaque ont accordé les privilèges « Root » aux hackers, leur accordant ainsi toutes les permissions nécessaires pour installer d’autres logiciels malveillants sur l’iPhone et accéder à ses données (mots de passe et autres codes contenus dans le Trousseau, photos, messages, listes de contacts, etc.). L’attaque est si grave que même le chiffrement des conversations WhatsApp et Telegram des victimes a été compromis.

Fort heureusement, le code malveillant injecté dans l’iPhone n’est pas persistant. Ainsi, il suffirait de redémarrer l’appareil pour empêcher son fonctionnement. Toutefois, si l’attaquant est parvenu à récupérer les informations du Trousseau, comme les identifiants de l’utilisateur, il est susceptible de les utiliser à mauvais escient ou de les revendre.

Apple a déclaré à la BBC qu’elle ne souhaitait pas faire de commentaires sur cette affaire.

Cette attaque visant les appareils Apple réputés pour leur fiabilité montre bien qu’aucune entreprise, aussi puissante soit-elle n’est en mesure de garantir à 100 % la sécurité des données contre une exploitation massive. Google n’est pas parvenu à identifier l’auteur de l’attaque et n’a pas d’informations sur sa rentabilité sur le marché noir. Certaines attaques de ce type peuvent être vendues pour plusieurs millions de dollars – jusqu’à ce qu’elles soient découvertes et réparées.

Selon le chercheur Ian Beer, les utilisateurs doivent en prendre conscience et faire preuve de prudence en ce qui concerne les données qu’ils stockent sur leurs smartphones.

Source : Google Project Zero

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Autres articles sur le même sujet