Le groupe de recherche de Google a découvert une faille critique de l'iPhone. Elle a normalement été réparée avant que des hackers malveillants l'aient exploitée.

Même l’iPhone, réputé pour sa sécurité, n’est pas à l’abri des failles. Le Google Project Zero, division de Google spécialisée dans la recherche d’importantes failles de sécurité, a trouvé un moyen de contourner les défenses du smartphone d’Apple. Avec pour seule information un identifiant Apple (soit un email ou un téléphone), le laboratoire est parvenu à hacker à distance le smartphone. Grâce à l’exploitation de la faille, elle pouvait exfiltrer toutes sortes de données : fichiers, mots de passes, codes pour la double authentification, SMS, email…

Et ce n’est pas tout : la faille permettrait aussi d’activer micro et caméra de l’appareil en toute discrétion. Pour ne rien gâcher, elle rentrait dans la dangereuse catégorie des zéro-clic : un hacker aurait pu l’exploiter sans que l’utilisateur n’effectue d’action (comme cliquer sur un lien ou ouvrir une application) et qu’il ne reçoive de notification.

Samuel Groß, du Project Zero, détaille dans un long article de blog en trois parties comment il est parvenu à réaliser le hack, à partir d’une unique vulnérabilité liée à la mémoire de l’appareil. Celle-ci permettait de passer par la fonction qui distribue les accusés de réception sur iMessages (et indique “envoyé” ou “lu”) pour accéder au smartphone.

L’iPhone 11 Pro // Source : Louise Audry pour Numerama

Une faille colmatée avant d’être exploitée

Dès le 26 août, Apple, averti par Google un mois plus tôt, avait neutralisé la vulnérabilité, avant de la résoudre pour de bon fin octobre. Les utilisateurs d’iPhone ne sont donc plus concernés, à condition d’être à jour dans la mise à jour d’iOS, le système d’exploitation de l’appareil. Si Project Zero a découvert cette vulnérabilité, cela ne signifie pas que des hackers l’ont également trouvée. Elle a peut-être pu être réparée avant d’être exploitée par des organisations malveillantes.

Google a découvert en premier la faille

Elle est un exemple classique des opération de Google Project Zero. Cette division a pour mission de devancer les hackers malveillants. L’équipe de recherche se consacre à la découverte d’importantes vulnérabilités 0-day, c’est-à-dire de vulnérabilité inconnues jusque-là. Le groupe de chercheurs pousse ses travaux jusqu’à la réalisation d’un prototype d’exploitation de la faille. Il contacte ensuite l’entreprise concernée, et leur indique le problème, et certains moyens de le résoudre. Pour finir, il documente publiquement la procédure de résolution de la faille.

Si le groupe publie ensuite publiquement la procédure qui lui a permis de hacker l’iPhone, c’est parce qu’il considère que sa méthode a déjà été assimilée par les hackers et n’est donc plus une nouveauté ou un moyen de contourner les protections. Les hackers peuvent, par exemple, apprendre comment exploiter une faille à partir des détails du patch qui l’a réparée.

Apple régulièrement visé par Project Zero

La division de cybersécurité Project Zero se penche régulièrement sur la sécurité d’iOS, le système d’exploitation des iPhone. En juillet, elle révélait une faille qui permettrait désactiver les iPhone, et de forcer un redémarrage en usine, ainsi qu’une autre plus tôt dans l’année, qui permettait de lire les fichiers du smartphone. Il faut prendre compte qu’aucun système ne s’approche du risque zéro de faille de sécurité, et que ces vulnérabilités exposées par Google ne sont pas synonymes de mauvaise gestion de la sécurité.

Jusqu’à un million d’euros pour récompenser la détection de failles

Le plus souvent, les deux entreprises collaborent sans que leur concurrence sur le marché des smartphones n’entre en jeu. Mais en août, Apple avait critiqué publiquement une publication de Project Zero.

« L’article de Google, publié six mois après la sortie des patchs iOS, crée la fausse impression d’une “exploitation de masse” pour “surveiller les activités privées, en direct, de populations entières”, ce qui a créé de la peur auprès des utilisateurs d’iPhone, alors que leurs appareils n’ont jamais été compromis  », écrivait le constructeur.

Les failles zéro-clic, comme celle exposée par Project Zero, sont particulièrement critiques. Les entreprises comme Apple ou Google récompensent les chercheurs capables de les relever avec des enveloppes pouvant atteindre le million de dollars en fonction de leur gravité.

Crédit photo de la une : Louise Audry pour Numerama

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux