Une importante faille concernant iMessage et plus généralement l’application Messages sur iOS a été découverte par des chercheurs en sécurité chez Google, dont Samuel Groß. Ce dernier a profité du Chaos Communication Congress pour la détailler, sachant qu’elle a été bouchée par Apple.

Tout d’abord, Samuel Groß critique le fait qu’iMessage soit plus ou moins automatiquement activé lors de la mise en service d’un nouvel iPhone et qu’il ne soit pas possible de supprimer de manière générale les messages provenant d’expéditeurs inconnus. La réception standard de messages d’origine inconnue ouvre la porte à de telles attaques.

Pour ce qui est de la faille, elle permettait à une personne malveillante d’exécuter du code à distance sur un iPhone. Il suffisait pour l’auteur de l’attaque de connaître le numéro de téléphone ou l’adresse e-mail liée au compte Apple de la victime pour faire des dégâts. Il pouvait ainsi échapper aux protections mises en place par Apple et accéder aux données des applications installées et au noyau d’iOS. L’attaque pouvait être réalisée en moins de 10 minutes.

Samuel Groß et sa collègue Natalie Silvanovich ont prévenu Apple qui a pu corriger la faille avec iOS 12.4. Il est donc fortement conseillé de mettre à jour son appareil pour éviter de mauvaises surprises. Même si vous avez un ancien iPhone qui n’a pas le droit à iOS 13, vous pouvez profiter du correctif avec la dernière mise à jour d’iOS 12.