Apple a présenté de manière surprenante de nouvelles versions de son système d’exploitation dans la nuit de mardi à mercredi. La principale innovation réside dans le fait que la société a apparemment réussi à combler une faille de sécurité « zéro clic » exploitée par la société de sécurité NSO Group, qui a été utilisée pour diffuser le logiciel espion Pegasus via iMessage. Pendant des semaines, Apple n’a pas précisé si et comment la société avait l’intention de fournir un correctif. On a appris récemment que l’Office fédéral de police criminelle avait également acquis Pegasus.
Sommaire
La FORCEDENTRY enfin réparée
Comment le New York Times écrit, iOS 14.8 réussit maintenant à empêcher l’exploit surnommé « FORCEDENTRY » par l’organisation de sécurité Citizen Lab. Elle avait donné à Pegasus un accès total aux appareils Apple – y compris au microphone, à la caméra et à toutes les données qu’ils contiennent. Citizen Lab avait transmis des informations à ce sujet à Apple le 7 septembre, et il a fallu une bonne semaine à Apple pour corriger le problème. La vulnérabilité serait exploitée depuis au moins le printemps 2021. Apple a déclaré au journal qu’iOS 15 devrait contenir de « nouvelles barrières contre les logiciels espions » pour empêcher des attaques similaires à l’avenir – reste à savoir si elles sont vraiment efficaces.
La FORCEDENTRY n’était pas seulement possible sur les iPhones. Selon Apple, la vulnérabilité sous-jacente portant le CVE-ID 2021-30860 était également présente dans iPadOS, macOS (Big Sur comme Catalina – si les versions antérieures restent floues) et même watchOS. Dans tous ces systèmes, le problème a été corrigé avec les nouvelles versions. macOS est maintenant à la version 11.6 et watchOS à 7.6.2, Catalina a reçu la mise à jour de correction de bogue sous la forme de la mise à jour de sécurité 2021-005 Catalina. Dans iOS / iPadOS 14.8 et macOS 11.6, Apple a également corrigé un bug WebKit (CVE-2021-30858), qui n’est pas non plus anodin : il permet l’exécution de code via du contenu web. Pour macOS Catalina (10.15) et Mojave (10.14), la mise à jour 14.1.2 de Safari est disponible en téléchargement ici, qui corrige ce bogue.
Apple a mis beaucoup de temps à réparer
Apple ne fournit pas d’autres informations sur les innovations possibles dans macOS 11.6, iPadOS / iOS 14.8 et watchOS 7.6.2 – apparemment, il s’agit uniquement de correctifs d’urgence contre Pegasus et le bug WebKit susmentionné. On ignore encore quels autres bogues de type « zero-day » le groupe NSO a dans sa manche – et combien de temps il faudra à Apple pour les corriger. On ne sait pas non plus si l’entreprise aurait réussi aussi rapidement avec FORCEDENTRY sans l’aide susmentionnée de Citizen Lab. Pendant des semaines, Apple n’a fait aucune déclaration concrète sur les éventuels correctifs de Pégase (ou les lacunes restantes dans les systèmes actuels).
[bsc)