Un lien malicieux sur Twitter peut planter votre iPhone

Un lien partagé sur Twitter renvoyant vers une page hébergée par Github depuis le début de la semaine, exploite une faille de MacOS et iOS. Si vous le recevez via Messages, le logiciel de messagerie pour Mac, et iMessage, son équivalent iPhone, ne cliquez pas dessus : vous risqueriez d'endommager votre iPhone ou votre iPad et de rendre la messagerie inutilisable.

Apple affirme avoir corrigé le bug dans sa dernière mise à jour d'iOS, et Github a retiré la page diffusant le malware.

Des dégâts, même sans ouvrir le lien


Il s'appelle iabem97.github.io. Ce lien, vous l'avez peut-être vu passer dans votre fil Twitter. Vous avez passé votre chemin ? Vous avez bien fait. Ce lien qui circule également sur Messages, la messagerie de MacOS et iMessage, celle d'iOS, vous envoie vers une page Github activant un script destructeur. Même sans cliquer dessus, il peut causer des dégâts en profitant de la fonctionnalité de preview des liens de Messages.

Les dommages occasionnés ? Dans les cas les moins graves, ils peuvent provoquer un respring, c'est-à-dire une relance de la partie logicielle de l'appareil. Mais le script malicieux peut aussi freezer les messageries d'iOS et de MacOS, les rendant totalement inutilisables.

01f4000006680984-photo-hacker.jpg


Supprimer la conversation


La seule solution pour s'en prémunir consiste à quitter Messages ou iMessage, puis à effacer la conversation contenant le lien. Pour cela, sur iOS, balayer vers la droite le nom de la personne dans iMessage et valider l'option « effacer ». Elle permet de restaurer complètement les fonctionnalités de la messagerie. Ce n'est pas la première fois que l'on découvre ce genre de bugs véhiculés par l'app Messages : par le passé, des messages texte, des vidéos avaient généré des dégâts souvent peu sérieux mais hautement agaçants pour l'utilisateur...

Activer le contrôle parental permet aussi d'empêcher les liens d'affecter votre appareil. Pour cela, rendez-vous dans les réglages, général, restrictions. A noter qu'Apple affirme avoir fixé le bug dans sa dernière mise à jour d'iOS 11.2.5 beta 6. Github, de son côté, a supprimé la page contenant le lien.

Modifié le 14/02/2018 à 17h01
Commentaires