L’année dernière le petit monde Android tremblait face à une faille extrêmement critique, appelée Stagefright. Aujourd’hui, c’est au monde Mac – qui n’a pas été épargné d’un point de vue de la sécurité en 2015 – de se voir au bord du gouffre.
Tylan Bohan, chercheur en sécurité pour Cisco Talos, a en effet trouvé une faille qui permet à un attaquant de dérober le mot de passe d’un iPhone à partir de l’envoi d’un MMS ou d’un iMessage.
Pour entrer davantage dans le détail. Une personne mal intentionnée peut envoyer un petit programme intégré à une image au format TIFF par message multimédia. A la réception, le code s’exécute automatiquement sans que l’utilisateur puisse l’en empêcher. Grâce à une faille de sécurité dans ImageIO, l’API qui gère les données des images, le code malveillant peut alors accéder à tout l’iPhone bien au-delà du pré carré réservé à l’application de messagerie en temps normal.
Les Mac n’y coupent pas
Et les Mac alors ? Les PC de bureau ne sont pas épargnés. Le chercheur en sécurité a également découvert que cette faille fonctionnait par un autre moyen. Elle peut être exécutée via Safari, le navigateur d’Apple, présent par défaut dans iOS et Mac OS X. Sur les ordinateurs du géant californien, il suffirait que l’utilisateur visite une page Web, sans interagir outre mesure avec son contenu.
Tylan Bohan juste que cette faille est « un bug extrêmement critique, comparable à Stagefright sur Android » en ce qui concerne le nombre de périphériques concernés. Car, une telle attaque permettrait de récupérer les informations de sécurité personnelles (mots de passe, codes, etc.) stockées dans la mémoire de l’appareil visé. Cela pourrait donc concerner aussi tous les codes utilisés au quotidien : les mots de passe de votre réseau Wi-Fi, de votre compte mail, etc. Tout ce qui passe par votre navigateur à un moment ou à un autre.
Le spécialiste de Cisco Talos précise que pour qu’un attaquant puisse prendre un contrôle total d’un iPhone, il faudrait qu’il le jailbreake ou puisse utiliser un exploit root. Si iOS utilise pas un système de bac à sable, qui cloisonne les processus, la situation est différente pour Mac OS X. Les Mac sont donc bien plus exposés à l’heure actuelle déjà critique aurait pu être bien pire.
Des correctifs déjà disponibles
Selon Tylan Brohan, tous les iDevices sous iOS 9.3.2 et précédents sont concernés. La liste des OS concernés inclut a priori également tvOS et watchOS, moins en danger cependant. Depuis avant-hier, soit un jour avant la publication du post de l’expert de Cisco Talos, Apple a d’ailleurs mis à disposition iOS 9.3.3. Il est donc fortement recommandé d’installer cette mise à jour d’iOS. Les trois dernières moutures de Mac OS X ont également droit à une mise à jour (Mavericks 10.9.5, Yosemite 10.10.5 et El Capitan 10.11.6). Il est très vivement conseillé de mettre à jour votre périphérique. D’autant que ces patches corrigent également d’autres problèmes de sécurité et de stabilité.
Source :
Talos Intelligence
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
