Alerte générale pour les utilisateurs d’iPhone et d’iPad. À l’occasion d’une enquête inforensique réalisée chez un client, les chercheurs en sécurité de ZecOps ont mis la main sur deux failles zero-day dans l’application Mail d’iOS, permettant d’exécuter du code arbitraire à distance. Ces vulnérabilités existent dans toutes les versions d’iOS sorties depuis 2012 et n’ont pas encore été patchées. Elles ont été exploitées depuis au moins janvier 2018 par un groupe de hackers probablement d’origine étatique. Les chercheurs de ZecOps ont pu identifier des victimes en Amérique du Nord, au Japon, en Allemagne, en Israël et en Arabie Saoudite.
Un hack très furtif
Ces attaques sont puissantes, car particulièrement silencieuses. Pour être piraté sur iOS 13, il suffit que l’application Mail soit ouverte en tâche de fond et que l’utilisateur ciblé reçoive un e-mail. Aucune action de l’utilisateur n’est nécessaire. Sur iOS 12, c’est un poil plus compliqué. Pour réaliser une attaque « zero-clic », les pirates doivent pouvoir contrôler le serveur depuis lequel l’e-mail piégé est envoyé. Sinon, pour que l’exploit puisse s’exécuter, il faut inciter l’utilisateur à simplement ouvrir l’e-mail piégé, ce qui n’est pas forcément très compliqué non plus.
Si l’attaque se passe bien, la victime ne voit que du feu. « Hormis un ralentissement temporaire du client de messagerie, les utilisateurs ne devraient voir aucun comportement anormal », expliquent les chercheurs dans une note de blog. Des signes apparaissent en revanche si l’attaque ne fonctionne pas. Sur iOS 12, cela provoque un crash du client de messagerie. Sur iOS 13, la victime verra des messages sans aucun contenu. De quoi mettre la puce à l’oreille.
Quel est le risque d’une telle attaque ? En piratant l’application Mail, les pirates peuvent lire, modifier et supprimer n’importe quel e-mail du client de messagerie. Si l’attaquant dispose en plus d’une faille au niveau du kernel, il pourrait sortir du contexte de l’application et prendre le contrôle de l’appareil. Les chercheurs de ZecOps estiment que le groupe de pirates en question a cette capacité. Le risque potentiel serait donc « énorme », soulignent-ils.
Alerté par ZecOps, Apple a d’ores et déjà écrit un patch qui a été intégré dans la version bêta d’iOS 13.4.5. En attendant que cette mise à jour soit disponible, il n’y a pas 36 façons pour se protéger : il ne faut pas utiliser l’application Mail, mais se tourner vers un autre client de messagerie, par exemple Outlook ou Gmail.
Techniquement, les failles sont liées à des bugs dans la fonction MFMutableData de la librairie MIME. Pour les exploiter, il suffit par exemple d’envoyer un e-mail d’une certaine taille. En raison d’un manque de garde-fous, il est alors possible d’accéder à des zones de mémoire non autorisées (Out of bound write) ou de provoquer un dépassement du tas (Heap Overflow).
Mise à jour le 24 avril
Apple conteste en partie l’analyse de ZecOps. Dans une déclaration relayée par Bloomberg, l’entreprise explique : « Nous avons étudié en profondeur le rapport du chercheur et, sur la base des informations fournies, nous avons conclu que ces problèmes ne posaient pas de risque immédiat pour nos utilisateurs. Le chercheur a identifié trois problèmes dans Mail, mais à eux seuls, ils sont insuffisants pour contourner les protections de sécurité de l’iPhone et de l’iPad, et nous n’avons trouvé aucune preuve qu’ils ont été utilisés contre des clients. »
Source : ZecOps
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.