Apple a publié une mise à jour de sécurité critique pour iOS 16 pour iPhone et iPad afin de corriger un bug particulièrement malveillant qui pourrait permettre à un pirate informatique de s’emparer de votre appareil sans aucune action de votre part. L’exploit « zéro clic, zéro jour » permet aux attaquants d’installer le logiciel espion Pegasus de NSO Group, qui pourrait leur permettre de lire les messages texte d’une cible, d’écouter les appels, de voler et de transmettre des images, de suivre sa position et bien plus encore.
L’exploit (appelé « Blastpass ») a été découvert pour la première fois par Citizen Lab, qui l’a immédiatement divulgué à Apple. Il aurait été utilisé pour installer Pegasus sur l’iPhone d’un employé d’une organisation basée à Washington DC. Il est capable de compromettre les appareils exécutant la dernière version 16.6 d’iOS « sans aucune interaction de la part de la victime », a écrit le groupe.
Apple a publié iOS 16.6.1 pour contrer cette vulnérabilité, déclarant simplement qu ‘ »une pièce jointe conçue de manière malveillante peut entraîner l’exécution de code arbitraire ». De plus, Citizen Lab a même conseillé à « tous les utilisateurs à risque d’envisager d’activer le mode verrouillage car nous pensons qu’il bloque l’attaque ». On pense que l’attaque impliquait PassKit (un SDK qui permet aux développeurs d’installer Apple Pay dans leurs applications), d’où le nom Blastpass, ainsi que des images malveillantes envoyées par iMessage. Pour des raisons évidentes, Citizen Lab n’a pas divulgué d’autres détails.
Le mode verrouillage est une fonctionnalité récente d’iOS conçue pour restreindre sévèrement les fonctions des appareils Apple et s’adresse à « un très petit nombre d’utilisateurs confrontés à des menaces graves et ciblées pour leur sécurité numérique », a déclaré Apple. La société a été confrontée à un certain nombre de menaces ces derniers temps, notamment une vulnérabilité datant de février 2023 qui « pourrait avoir été activement exploitée », avait alors déclaré Apple.
Cet exploit ramène également Pegasus dans l’actualité, à la suite d’une interdiction par l’administration Biden plus tôt cette année. Développé par la société israélienne de cyber-armes NSO Group, il a fait sensation après avoir été utilisé par plusieurs pays pour espionner des journalistes, des militants et d’autres. Dans un cas notoire, il aurait été utilisé par l’Arabie saoudite pour espionner le journaliste Jamal Kashoggi, qui a ensuite été assassiné en Turquie.