Vous avez peut-être entendu parler de la découverte d'une attaque sophistiquée ciblant les iPhones via des sites web pendant plusieurs années. Google Project Zero a révélé cette vulnérabilité dans le cadre de ses analyses de sécurité, démontrant comment des pirates ont compromis des milliers d'appareils iOS sur deux ans.
Comment ces sites ont-ils pu infiltrer les iPhones ? Et comment vous protéger ? Voici tous les détails essentiels.
Revue en août 2019 par Google Project Zero, cette faille exploitait une chaîne de 14 vulnérabilités zero-day combinées en cinq attaques successives. Traditionnellement, pirater un iOS non jailbreaké semblait impossible sans connaître une faille inconnue d'Apple.
Une vulnérabilité zero-day est une faille non divulguée à Apple ni à la communauté sécurité. Une fois connue, Apple la corrige rapidement.
Les attaquants ont enchaîné ces 14 failles pour installer un implant root, contournant les protections iOS et obtenant les privilèges maximaux. Visiter un site infecté suffisait pour déployer ce malware de surveillance.
Google estime que des milliers de visites hebdomadaires ont potentiellement infecté de nombreux appareils sur des années.
L'implant offrait un accès exhaustif : géolocalisation en temps réel, historique d'appels et SMS, notes, mots de passe, mémos vocaux, photos. Il lisait même les messages chiffrés (iMessage, Telegram, WhatsApp) via les bases de données système.
Avec accès root, il contournait les protections contre les apps tierces. Il téléchargeait aussi e-mails et contacts vers les serveurs pirates, avec un suivi GPS continu particulièrement invasif.
Apple a minimisé l'ampleur : "attaque sophistiquée étroitement ciblée, touchant moins d'une douzaine de sites liés à la communauté ouïghoure, non un exploit massif".
Les Ouïghours, minorité chinoise réprimée, étaient vraisemblablement visés par surveillance gouvernementale. Apple a critiqué Google pour alarmer inutilement les utilisateurs, mais ces failles soulignent des risques réels pour tous.
Premièrement, cibler une minorité pour persécution concerne l'humanité entière. Deuxièmement, iOS n'est pas invulnérable. Troisièmement, ces méthodes pouvaient scaler à grande échelle.
Pas de panique : Apple a patché ces failles depuis iOS 12.1.4. Mettez à jour régulièrement pour vous protéger.
En cas de suspicion, installez la dernière version iOS : le redémarrage efface le malware. Pas d'antivirus sur iOS, donc les mises à jour sont cruciales.
Bien que sécurisé, l'iPhone n'est pas infaillible. Explorez nos guides sur les apps sécurité et paramètres iPhone essentiels.
