Des sites malveillants ont exploité pendant des années des failles de sécurité présentes dans iOS et non connues publiquement pour s’attaquer à des iPhone. La découverte a été faite par Project Zero, l’équipe de Google chargée de la sécurité.

Ian Beer, l’un des chercheurs, explique que les utilisateurs n’avaient qu’à tomber sur un site malveillant pour être infectés. Une série d’attaques était réalisée pour installer un malware sur l’iPhone qui se chargeait de voler des données de l’iPhone et de partager la localisation de l’utilisateur une fois par minute en moyenne. Les données pouvaient être des iMessages, des contacts, des mots de passe ou des photos par exemple.

14 exploits ont été repérés par Project Zero, qui sont valides sur quasiment toutes les versions d’iOS comprises entre iOS 10 et iOS 12. Les iPhone concernés étaient l’iPhone 5s jusqu’à l’iPhone X. Un redémarrage suffisait pour supprimer le malware, mais encore faut-il que l’utilisateur soit au courant qu’il était présent sur son appareil.

L’équipe de Google a averti Apple le 1er février dernier et a laissé un délai de 7 jours à Apple pour corriger le tir. Les exploits ont justement été bouchés avec iOS 12.1.4, qui a vu le jour le 7 février. Project Zero a détaillé aujourd’hui la méthode sur son blog.