Samuel Groß, l’un des chercheurs en sécurité au sein du Google Project Zero, a présenté une faille de sécurité assez impressionnante la semaine dernière à l’occasion du Chaos Communication Congress (CCC). Il a découvert un moyen d’exécuter du code à distance sur un appareil iOS, simplement en connaissant son numéro de téléphone ou l’adresse mail associée au compte iCloud du terminal. L’attaque se fait via l’app Messages et elle est très sérieuse, mais elle a aussi été d’ores et déjà corrigée par Apple.
En effet, la faille dévoilée ici ne concerne pas iOS 13, elle est limitée à iOS 12.4 au maximum, ce qui veut dire que les appareils bloqués sur iOS 12 peuvent s’en protéger en installant la dernière version (12.4.4). Comme toujours, Apple a été notifiée en amont et a eu le temps de corriger la faille avant que le chercheur en sécurité ne publie ses résultats.
Si le sujet vous intéresse, la conférence entre dans les détails sur l’architecture de l’app Messages et sur l’origine de la faille qui permet de sortir du bac à sable de la messagerie d’Apple pour accéder à d’autres apps et même au noyau d’iOS. C’est très technique, mais vous pouvez suivre les explications si vous avez quelques connaissances de base dans le domaine.
