Un petit groupe de chercheurs en sécurité de chez Google vient de révéler la présence d’une faille importante au sein des iPhone.

L’équipe du « Project Zero » a révélé que la faille était présente sur les iPhone depuis de nombreuses années sans qu’Apple ne la corrige. Le défaut de sécurité exposait les utilisateurs à des piratages fréquents. Il suffisait que les propriétaires d’iPhone se rendent sur certains sites très populaires pour qu’ils soient vulnérables. Les chercheurs en sécurité de chez Google ont précisé que la faille était présente depuis iOS 10 jusqu’à iOS 12, donc durant au moins 2 ans.

Les sites en question avaient eux-mêmes été piratés, leur serveur était alors devenu une arme qui attaquait les visiteurs. “Une simple visite sur l’un des sites piratés suffisait au serveur d’exploitation pour attaquer votre appareil, et, en cas de succès, installer un programme de surveillance”, ont précisé les chercheurs du Project Zero.

Une fois infiltré sur les smartphones, l’objectif des pirates était de récupérer un maximum de données sans distinction, dont la géolocalisation des victimes en permanence. Ils ont ainsi pu récupérer des données provenant de services tels que iMessage. « En travaillant avec TAG, nous avons découvert quatorze vulnérabilités réparties dans cinq domaines : sept pour le navigateur Web de l’iPhone, cinq pour le noyau et deux sur la sandbox. L’analyse initiale a indiqué qu’au moins une des chaînes d’élévation de privilèges était encore non corrigée au moment de la découverte », ont expliqué les membres du Project Zero.

Les chercheurs estiment que les pirates visaient essentiellement des personnes de certaines communautés : « être ciblé peut signifier simplement être né dans une certaine région géographique ou appartenir à un certain groupe ethnique. Tout ce que les utilisateurs peuvent faire, c’est être conscient du fait que l’exploitation de masse existe toujours et se comporter en conséquence; traiter leurs appareils mobiles à la fois comme faisant partie intégrante de leur vie moderne, mais également comme des appareils qui, une fois compromis, peuvent télécharger chacune de leurs actions dans une base de données pour éventuellement être utilisée à leur encontre ».

La faille avait été présente depuis le lancement d’iOS 10 en septembre 2016 et n’aurait été corrigée qu’avec la version 12.1.4 d’iOS 12, soit le 9 février 2019. En deux ans, le nombre de victimes potentiel est donc conséquent.

Les révélations du Project Zero, dont la maison mère est le grand concurrent de la Pomme, entachent la réputation supposée sûre des iPhone. En juillet dernier déjà, l’équipe de chercheurs de chez Google avait révélé publiquement d’importantes failles de sécurité au sein d’iOS. Sur les 6 failles listées, Apple n’en avait corrigé que 5.