Mauvaise nouvelle pour les utilisateurs de l’application Mail sur iPhone et iPad ! Une entreprise de cybersécurité du nom de ZecOps a mis en évidence deux failles critiques dans l’application de messagerie par défaut sur iOS et iPadOS. Après une enquête plus approfondie, ils ont trouvé des preuves d’attaques ciblées, qu’ils ont décrit dans un rapport accablant.
Une paire de vulnérabilité zero days
Les chercheurs en cybersécurité de ZecOps ont partagé leur inquiétante découverte dans un rapport publié le 21 avril 2020. Les vulnérabilités permettent à un hacker de dérober des informations confidentielles en exploitant les processus MobileMail et Mailid d’Apple dans iOS 12 et iOS 13 grâce à l’utilisation d’un mail spécifique. Et, si le processus est correctement déclenché, un utilisateur ignorerait totalement que son système de mail est piraté.
En soi, les failles ne présentent pas un risque trop important pour les utilisateurs. Elles permettent seulement à un hacker de détourner, modifier ou de supprimer des courriers électroniques. Mais combinées à une autre attaque du noyau, les vulnérabilités pourraient permettre à une personne malveillante d’accéder à la racine d’un appareil ciblé.
Les chercheurs ont également indiqué que des variantes de cette faille remontent au moins à iOS 6. Parce que les vulnérabilités ont été utilisées pour attaquer les utilisateurs avant qu’Apple puisse publier un correctif, elles sont donc considérées comme des attaques “zero-day”, ce qui est significatif car les “zero-day” d’iOS sont extrêmement rares et souvent assez coûteux pour la marque à la pomme.
Un patch de sécurité prévu dans iOS 13.4.5
Lorsqu’ils ont découvert les failles, les experts de ZecOps en ont immédiatement informé les responsables d’Apple. La marque à la pomme n’a pas perdu de temps pour développer un patch de sécurité pour contrer ces vulnérabilités. Le patch est déjà disponible sur la version bêta d’iOS 13.4.5 mais des améliorations restent encore à faire.
Pour atténuer les attaques, ZecOps recommande aux utilisateurs de cesser d’utiliser l’application native Mail sur iOS et iPadOS jusqu’à ce que correctif soit déployé publiquement. En revanche, les utilisateurs d’un Mac peuvent se rassurer puisque MacOS n’est pas affecté.