Un hack complexe permet de pirater les iPhones en passant par l'application Mail pré-installée sur les smartphones Apple. Il n'a été utilisé que pour des attaques très ciblées et sa mise en place n'est accessible qu'à des groupes de cybercriminels avancés.

Des hackers ont utilisé des emails pour pirater les iPhone à distance, sans que les victimes aient à cliquer sur quoi que ce soit. L’entreprise de cybersécurité ZecOps a annoncé le 22 avril 2020 qu’elle avait découvert des tentatives d’exploitation d’une vulnérabilité d’iOS, le système d’exploitation mobile des iPhone. Le piratage fonctionne sur toutes les versions du logiciel, au moins à partir d’iOS 6, et les chercheurs ont relevé des traces de son usage dès janvier 2018. «  Une utilisation réussie de cette vulnérabilité permettrait à l’assaillant d’extraire, modifier ou supprimer des emails », préviennent les experts. La vulnérabilité seule ne permet donc pas de prendre le contrôle de l’appareil, mais les chercheurs expliquent qu’elle peut être combinée à d’autres failles pour permettre d’exécuter du code à distance sur le smartphone.

Pour parvenir à leurs fins, les hackers envoient un email créé spécialement pour exploiter la faille, qui va surcharger la mémoire du téléphone. Il pourrait passer inaperçu, car il a pour seuls effets de ralentir temporairement le smartphone et d’éventuellement faire crasher l’app Mail. Sur iOS 13, le hack se déclenche lorsque les cibles reçoivent l’email. Sur iOS 12 et antérieur, il faut que la victime ouvre l’email dans l’application native « Mail » préinstallée sur les iPhone. Le hack ne fonctionne pas sur les autres applications d’email comme Gmail.

Tous les iPhone sont sensibles à cette vulnérabilité. // Source : Pexels

Au lendemain de la publication du rapport de FireEye, Apple a pris la parole pour rassurer ses clients, et contredire FireEye qui affirme que la vulnérabilité a été exploitée au moins six fois. « Nous avons étudié en profondeur le rapport du chercheur et, sur la base des informations fournies, nous avons conclu que ces problèmes ne posaient pas de risque immédiat pour nos utilisateurs », a déclaré le géant américain. « Le chercheur a identifié trois problèmes dans Mail, mais à eux seuls, ils sont insuffisants pour contourner les protections de sécurité de l’iPhone et de l’iPad, et nous n’avons trouvé aucune preuve qu’ils ont été utilisés contre des clients. »

Les hackers ne visent que des profils à haut intérêt stratégique

« Nous soupçonnons les assaillants d’exploiter une autre vulnérabilité en même temps. C’est en cours d’enquête », a précisé ZecOps. L’exploitation d’une autre faille dans les basses couches logicielles d’iOS serait nécessaire pour faire aboutir le piratage.

Il s’agit donc d’un piratage complexe à mettre en place, qui n’est pas utilisé pour viser le grand public. Parmi les victimes identifiées, ZecOps liste des employés d’une grande entreprise américaine, un journaliste en Europe, une célébrité allemande ou encore un dirigeant d’entreprise au Japon. En tout, l’entreprise comptabilise 6 organisations victimes. « Nous pensons que ces attaques sont liées à au moins un opérateur soutenu par un État, ou un État même qui aurait acheté le hack à un parti tiers », suggère-t-elle.

En attendant le patch définitif, utilisez un autre client email

Apple a été averti le 19 février, et a déjà déployé un prépatch pour réparer la vulnérabilité le 15 avril. Le groupe californien travaille encore sur une version définitive, qui devrait être prête prochainement. Pendant ce temps, ZecOps a identifié des tentatives d’exploitation de la faille. En attendant que le patch officiel soit déployé, l’entreprise de cybersécurité conseille de désactiver Apple Mail et d’utiliser un autre client pour lire ses mails (Gmail, Outlook…).

ZecOps insiste pour rassurer le grand public : ces vulnérabilités seules ne peuvent pas causer dommages aux utilisateurs d’iOS, puisque les pirates ont besoin d’exploiter deux autres bugs pour prendre le contrôle complet de l’appareil ciblé. Une tâche extrêmement complexe qui ne sera rentable que pour des cibles très stratégiques.

Article mis à jour le 24 avril à 10h00 avec la déclaration d’Apple.

Crédit photo de la une : Louise Audry pour Numerama

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux