Des experts en cybersécurité ont découvert deux failles critiques dans l’application Mail préinstallée par Apple sous iOS. Le problème ? Les attaques, indétectables par les utilisateurs, sévissent depuis au moins deux ans.
L’application Mail d’Apple est une application native installée sur tous les appareils iOS. Cela pourrait sembler improbable qu’elle rencontre des problèmes de sécurité inconnus depuis le temps qu’elle existe. Et pourtant, l’entreprise experte en cybersécurité basée à San Francisco, ZecOps, a découvert que deux failles la rendraient vulnérable aux logiciels malveillants. Une vulnérabilité zero-day (qui n’a jamais été corrigée) serait combinée avec une faille donnant l’accès total à l’appareil de la victime. Celle-ci daterait de 2012 quand iOS 6 est sorti.
Apple : iOS 14 permettrait de tester les applications sans les installer
Les deux failles sont utilisées depuis 2018 dans l’application Mail
Bien que ZecOps ne détaille pas exactement le mode opératoire des hackeurs, ces derniers envoient en fait des emails qui vont pouvoir déclencher des vulnérabilités dans l’iPhone ou l’iPad de la victime. Les attaques sont complètement indétectables par l’utilisateur, ce qui leur aurait permis d’exister depuis deux ans sans que personne ne s’en rende compte. Pire encore, les utilisateurs d’iOS 13 n’ont même pas besoin de cliquer sur le mail infecté pour se retrouver piratés. Sur iOS 12, il faut d’abord cliquer sur le mail en question. Enfin presque, étant donné que « si un attaquant contrôle le serveur de messagerie, l’attaque peut également être effectuée sans aucun clic sur iOS 12 ».
De plus, les cybercriminels peuvent supprimer le mail à distance une fois que la vulnérabilité a été déclenchée afin de ne laisser aucune trace. Les premières attaques remonteraient en 2018 sous iOS 11.2.2. Depuis, ZecOps a précisé que des personnes ont été touchées un peu partout dans le monde, en Allemagne, au Japon, en Arabie Saoudite, en Israël et en Suisse.
Cependant, il semblerait que ZecOps manque de preuves à l’appui, ce qui gêne d’autres chercheurs en cybersécurité qui doutent de la validité de cette découverte. Quoiqu’il en soit, ces vulnérabilités peuvent se révéler particulièrement dangereuses puisqu’elles sont exploitées à distance sans que la victime ne s’en rende compte. Apple a corrigé les failles dans la version beta d’iOS 13.4.5. En attendant, si vous voulez rester en sécurité, il vous faut soit installer cette beta, soit utiliser une application alternative telle que Gmail ou Outlook.
Sources : The Verge, Ars Technica