Passer au contenu

Comment Apple a considérablement renforcé la sécurité d’iMessage

La firme de Cupertino a blindé sa messagerie en lui ajoutant un bac à sable et de meilleures protections pour les zones de mémoire. Il était temps.

Le chercheur en sécurité Samuel Gross de Google Project Zero vient de révéler un nouveau mécanisme de sécurité qu’Apple a intégré dans iOS 14 pour protéger son service iMessage. Ce dispositif, qu’il a découvert par un travail de rétro-ingénierie, intègre un bac à sable baptisé « BlastDoor » qui prend désormais en charge le traitement des données à risque à chaque réception de message. C’est lui qui, par exemple, va décoder et exécuter les éventuelles URL intégrées.

Au-delà du bac à sable, Apple a également blindé la distribution aléatoire de l’espace d’adressage (ASLR, Address Space Layout Randomization). Celle-ci est censée empêcher les pirates d’accéder aisément aux zones de mémoire pour y exécuter leur code malveillant. Avec iOS 14, la distribution aléatoire de certaines zones est désormais renouvelée plus souvent. Par ailleurs, pour limiter les attaques contre l’ASLR par force brute, Apple a introduit un mécanisme de freinage exponentiel qui se met en route lorsque des crashs à répétition se produisent. Un pirate qui utiliserait cette technique nécessiterait désormais des heures voire des journées pour arriver à ses fins, contre quelques minutes auparavant.

Au final, Samuel Gross est satisfait de ce qu’il a trouvé. « Ces changements sont probablement les meilleurs possibles compte tenu du besoin de rétrocompatibilité, et ils devraient avoir un impact significatif sur la sécurité d’iMessage et de la plate-forme dans son ensemble », écrit-il en conclusion. Il faut dire qu’il était temps. Ces dernières années, iMessage a été la cible de nombreuses attaques de cyberespionnage, et notamment de la part du groupe israélien NSO. La dernière révélation de ce type date de décembre dernier. À plusieurs reprises, les chercheurs en sécurité de Google Project Zero avaient également mis en exergue la faible qualité du code d’iMessage, dans lequel ils avaient trouvé une palanquée de failles critiques en 2019.

Source: Note de blog de Samuel Gross

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN