Cupertino a rapidement corrigé deux bugs activement exploités découverts dans iOS en quelques jours seulement
Pourquoi est-ce important: Pegasus est un logiciel espion commercial développé par la société israélienne de cyber-armes NSO Group qui semble fonctionner pour « prévenir et enquêter » sur le terrorisme et le crime. Cependant, Pegasus est souvent utilisé pour traquer, espionner et compromettre des journalistes, des militants, des dissidents politiques et des avocats du monde entier.
Le groupe de surveillance Citizen Lab a récemment découvert deux vulnérabilités Zero Day sur iPhone qui permettent au logiciel espion Pegasus de pénétrer dans l’appareil. Les failles ont été utilisées pour espionner une personne anonyme employée par une organisation de la société civile de Washington DC, abusant d’une chaîne d’exploitation que les chercheurs ont appelée BLASTPASS.
Le principal exploit a compromis PassKit, le framework d’Apple conçu pour inclure l’option Apple Pay dans les applications tierces. Il a utilisé des pièces jointes contenant des « images malveillantes » envoyées via l’application Messages comme vecteur d’attaque. Cet exploit « zéro clic » ne nécessite aucune interaction de l’utilisateur, car il suffisait de recevoir la pièce jointe malveillante sur la dernière version d’iOS pour être infecté par le logiciel espion Pegasus.
La chaîne d’exploitation BLASTPASS a été « immédiatement » divulguée à Apple, et la société s’est rapidement mise au travail sur le problème. Apple a maintenant publié deux mises à jour de sécurité pour iOS 16.6.1 et iPadOS 16.6.1, reconnaissant l’enquête de Citizen Lab et trouvant un problème supplémentaire lié à la principale faille BLASTPASS.
Le premier bug (CVE-2023-41064) est un problème de dépassement de tampon trouvé dans le composant iOS ImageIO. Les pirates pourraient exploiter cette faille en forçant ImageIO à traiter une image conçue de manière malveillante, conduisant ainsi à l’exécution de code arbitraire. Apple a corrigé la vulnérabilité en améliorant la gestion de la mémoire ImageIO.
La deuxième faille (CVE-2023-41061) a été trouvée dans Wallet, où un « problème de validation » pouvait être manipulé pour envoyer des pièces jointes malveillantes conçues pour permettre l’exécution de code arbitraire. Apple a amélioré la logique du code pour corriger la faille de sécurité et a reconnu l’aide de Citizen Lab.
Les analystes affirment que le mode verrouillage, l’option ultra-sécurisée d’Apple pour limiter la surface d’attaque sur iPhone et iPad, bloquera la chaîne d’exploitation BLASTPASS. Citizen Lab a félicité Apple pour sa « réponse d’enquête » rapide et son cycle de correctifs.
L’incident met également en évidence la façon dont des acteurs malveillants utilisent régulièrement des « logiciels espions mercenaires » comme Pegasus, une ONG, pour cibler les employés du gouvernement et d’autres membres de la société civile. Les mises à jour Apple sont conçues pour sécuriser les appareils appartenant aux utilisateurs réguliers, aux entreprises et aux gouvernements. Citizen Lab note que la découverte du BLASTPASS met en évidence la « valeur incroyable » du soutien aux organisations de la société civile avec des mesures collectives de cybersécurité.
