Le géant Apple, victime d'une vulnérabilité affectant plusieurs de ses produits, a dû propulser dans l'urgence un correctif.
L'actualité autour de la cybersécurité est décidément très chargée. Ce lundi, la société ESET rappelle qu'Apple a dû corriger dans l'urgence, il y a quelques jours, une faille zero-day qui affectait de nombreux appareils de la firme à la pomme, parmi lesquels divers modèles d'iPhone, d'iPad, d'iPod Touch et d'Apple Watch.
La galaxie des appareils Apple touchée, Mac épargné
La mise à jour, publiée en urgence par Apple à la fin du mois de mars, mais dont on a peu entendu parler, concerne les systèmes d'exploitation iOS, iPadOS et watchOS, qui font l'objet d'une exploitation active dans la nature, avec une grave vulnérabilité qui met en danger notamment des appareils récents de la firme californienne.
Plus précisément, la faille concerne :
- Les iPhone 6s et les versions ultérieures,
- Toutes les versions de l'iPad Pro, l'iPad Air 2 et les versions ultérieures,
- La 5e génération d'iPad et les versions ultérieures,
- L'iPad mini 4 et les versions ultérieures,
- La 7e génération de l'iPod Touch,
- Et potentiellement les produits Apple Watch.
Les mises à jour iOS 14.4.2 et iPadOS 14.4.2 ont été mises en ligne et doivent être installées le plus rapidement possible, puisqu'elles concernent les appareils que nous venons de citer. La mise à jour iOS 12.5.2, elle, est aussi à installer, mais elle concerne des modèles plus anciens (iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 et iPod touch (6e génération).
Une faille potentiellement génératrice d'une campagne de phishing
Pour le moment, on ignore quels attaquants ont pu exploiter cette faille ou leur localisation. Ce que l'on sait, c'est que cette faille, répertoriée CVE-2021-1879, trouve sa source dans le moteur de navigateur web open-source d'Apple, WebKit, sollicité par Safari, Mail et d'autres applications iOS et iPadOS.
Cette vulnérabilité, découverte par Clément Lecigne et Billy Leonard, deux ingénieurs de Google, permet à un individu malveillant de tromper sa cible, à distance, en la poussant à cliquer sur un lien créé pour l'occasion. Une fois que la victime clique sur le lien, elle peut ainsi générer malgré elle un code arbitraire qui permet à l'attaquant de dérober des informations et données sensibles, et de mener ensuite une attaque de phishing ou d'aider à l'installation automatique d'un logiciel malveillant sur la machine (technique du drive-by download).
Ce n'est pas la première fois que des spécialistes en cybersécurité de Google décèlent des vulnérabilités dans des produits Apple, comme le rappelle Benoît Grunemwald d'ESET France, et on ne peut aujourd'hui que vous conseiller d'activer les mises à jouer automatiques sur votre appareil à la pomme, ou bien de procéder manuellement à une mise à jour, en allant, sur votre iPhone par exemple, dans le menu « Réglages », puis en appuyant sur « Général » et en choisissant l'onglet « Mise à jour du logiciel ».
