Project Zero, l’équipe de Google qui est spécialisée dans la découverte de failles de sécurité, dévoile six failles de sécurité qui sont en lien direct avec l’iPhone. Apple en a corrigé complètement cinq d’entre elles avec iOS 12.4 (dont une avec WatchOS 5.3 pour l’Apple Watch qui est livré en même temps).

Chacune des failles peut être exploitée pour exécuter un code malveillant à distance sur l’iPhone. Un hacker n’a qu’à envoyer un message spécifique (comme un iMessage) à un utilisateur pour que le code malveillant soit exécuté. Cette méthode permet de réaliser une fuite de mémoire et ainsi obtenir des données stockées sur l’iPhone, sans que l’utilisateur soit au courant.

Dans le détail, la première faille (CVE-2019-8647) permet l’exécution de code arbitraire en s’attaquant au Core Data framework d’iOS – en lien avec une méthode (NSArray initWithCoder) insuffisamment sécurisée. La seconde (CVE-2019-8662), similaire, réside dans la fonctionnalité d’aperçu rapide Quicklook. La troisième (CVE-2019-8660) permet de corrompre la mémoire au travers du composant Siri du framework Core Data, qui permet de provoquer des crashes et de l’exécution de code arbitraire. La quatrième vulnérabilité ( CVE-2019-8624) réside dans le composant Digital Touch de watchOS et affecte l’Apple Watch Series 1 et les versions ultérieures. Le problème a été corrigé par Apple avec la sortie de watchOS 5.3. Pour finir, la faille CVE-2019-8646 qui réside également dans Siri et dans le Core Data framework permet à un attaquant de lire le contenu de fichiers de l’iPhone à distance sans aucune interaction de l’utilisateur, et lui donne un accès total – non sandboxé – à l’appareil. Google a mis en ligne des « preuves de concepts » (des démonstrations) de ces failles de sécurité puisqu’elles sont maintenant comblées.

Les chercheurs de Google ont averti Apple des six failles de sécurité et Apple a réussi à en boucher cinq. La sixième (CVE-2019-8641) n’est pas totalement bouchée cependant, les chercheurs de l’équipe Project Zero expliquent avoir trouvé une parade pour exécuter une nouvelle fois un code malveillant. Les détails techniques ont été conservés lors de la sortie d’iOS 12.4. Natalie Silvanovich, l’une des chercheuses chez Google, en a dit un peu plus lors de la conférence Black Hat.

 

Rappelons que cette mise à jour ne se contente pas uniquement d’améliorer la sécurité des vos appareils. Voici les nouveautés annoncées par Apple :

  • Un nouvel outil de migration pour transférer directement les données d’un ancien iPhone vers un nouvel iPhone, le tout sans fil
  • Les titres téléchargés dans Apple News deviennent accessibles dans la section « Mes magazines », aussi bien en ligne que hors-ligne
  • Tous les titres dans Apple News+, dont les journaux, sont ajoutés au catalogue en haut du flux News+
  • Il devient possible d’effacer les magazines téléchargés dans Apple News en se rendant dans Historique > Effacer > Tout effacer
  • La fonction Talkie-Walkie fonctionne de nouveau sur l’Apple Watch
  • Le support du Japon et de Taïwan pour le HomePod est ajouté

Apple ne fait aucune mention à l’Apple Card, bien que cette mise à jour soit normalement obligatoire pour la supporter.

Apple ne fait aucune mention à l’Apple Card, bien que cette mise à jour soit normalement obligatoire pour la supporter.   Si ce n’est pas déjà fait, pensez à mettre à jour votre iPhone vers iOS 12.4 pour boucher la quasi-totalité des failles de sécurité et profiter des nouveautés (iPhone à partir de l’iPhone 5s et iPad à partir de l’iPad Air/mini 2) . la mise à jour est disponible depuis le 22 juillet dans Réglages > Général > Mise à jour logicielle. Vous pouvez aussi faire une installation manuelle en téléchargeant le firmware depuis cette page dédiée puis en passant par iTunes pour faire la mise à jour.

Et puisque nous parlons de sécurité, nous cous conseillons de protéger vos appareils mobiles avec une assurance mobile :

 

La sécurité du logiciel de votre iPhone, iPad, macbook ou même de votre Apple Watch n’est pas la seule chose importante. Il est aussi important de se prémunir contre tout accident ou vol. Carrefour Assurance vous propose d’assurer tous les appareils électroniques portables, en un seul abonnement, de moins de 5 ans, de toute la famille en cas de casse, vol, et oxydation quelle qu’en soit la cause !  En cas de casse, vol ou oxydation, l’indemnisation peut aller jusqu’à 650 euros par an, quelle que soit la cause du dommage, sauf la cause intentionnelle.