Citizen Lab a détaillé dans un article de blog le fonctionnement d'une faille zero day et zero click utilisée pour infecter des appareils Apple avec Pegasus.
Tous les appareils de la marque sont concernés et Apple a sorti un correctif pour tous ses systèmes d'exploitation, qu'il est conseillé d'installer dès maintenant.
Une faille présente dans CoreGraphics
En mars 2021, les chercheurs de Citizen Lab se sont chargés d'analyser le téléphone d'un activiste saoudien. Durant leurs recherches, ils ont découvert que l'appareil avait bien été infecté avec Pegasus, le logiciel espion de l'entreprise israélienne NSO Group. Ils ont également récupéré des fichiers présents dans une sauvegarde iTunes du téléphone afin de les étudier.
Après une nouvelle analyse de ces derniers, ils ont découvert que plusieurs d'entre eux possédaient une extension « .gif » et avaient été envoyés sur le téléphone juste avant l'infection. Ces fichiers, en réalité des fichiers PSD et PDF, exploitaient une faille présente dans CoreGraphics, la bibliothèque de rendu d'images d'Apple.
Ce n'était pas la première fois qu'ils rencontraient ce bug. Le 24 août dernier, la faille avait déjà été mentionnée dans un rapport du collectif à propos du hack de téléphones d'activistes bahreïnis, suite à quoi des preuves de son utilisation pour infecter les appareils avec Pegasus avaient été repérées. Nommée « FORCEDENTRY » pour sa capacité à passer outre BlastDoor, une sécurité pour iMessage introduite par Apple en début d'année, elle exploite une vulnérabilité de type dépassement d'entier (integer overflow).
Une faille zero click particulièrement sensible
Désormais désignée comme « CVE-2021-30860 », elle permet à un attaquant d'exécuter des commandes à l'aide d'un PDF malveillant et de gagner le contrôle total de l'appareil. Cette faille est particulièrement sensible puisqu'elle est « zero click » : les utilisateurs ont été infectés sans aucune action de leur part, recevoir le fichier sur iMessage était suffisant. Apple a été informée dès le 7 septembre des nouvelles découvertes de Citizen Lab et a sorti le 13 septembre un correctif pour macOS Catalina, macOS Big Sur 11.6, watchOS 7.6.2, iOS 14.8 et iPadOS 14.8.
Une autre faille a été corrigée, la CVE-2021-30858. Celle-ci concerne WebKit, le moteur de rendu d'Apple utilisé par les navigateurs présents sur les appareils de la marque. Elle permet à du contenu web malveillant d'exécuter du code arbitraire et pourrait être activement exploitée d'après la marque. Safari 14.1.2 est donc également concerné par le correctif et il est conseillé de faire chacune des mises à jour au plus vite.
Source : Citizen Lab
