Apple déploie de nouvelles mises à jour pour plusieurs anciens iPhone et iPad. Ces correctifs comblent des failles exploitées par Coruna, un kit d’attaque récemment analysé par Google et iVerify.
La semaine dernière, les chercheurs de Google et d’iVerify révélaient Coruna, un kit d’exploitation capable de compromettre un iPhone en combinant plusieurs vulnérabilités d’iOS. L’infection peut être déclenchée à partir d’une page web piégée dans Safari, avant d’exploiter d’autres failles du système pour contourner les protections d’iOS et obtenir des privilèges élevés sur l’appareil.
Si les iPhone récents étaient déjà protégés, plusieurs anciens modèles restaient exposés. Apple vient donc de publier une nouvelle salve de mises à jour de sécurité pour les appareils bloqués sur iOS 15 et iOS 16, afin d’y intégrer des correctifs introduits entre 2023 et début 2024.
Des mises à jour urgentes pour les vieux modèles d’iPhone et d’iPad
La mise à jour iOS 15.8.7 et son équivalent iPadOS 15.8.7 concernent notamment les iPhone 6s, iPhone 7 et iPhone SE de première génération, ainsi que plusieurs anciens modèles d’iPad comme l’iPad Air 2, l’iPad mini de quatrième génération ou encore l’iPod touch de septième génération.
De leur côté, iOS 16.7.15 et iPadOS 16.7.15 visent les appareils bloqués sur iOS 16, parmi lesquels les iPhone 8, iPhone 8 Plus et iPhone X, ainsi que certains iPad plus anciens, dont l’iPad de cinquième génération et les premiers iPad Pro.
Dans ses notes de sécurité, Apple confirme que ces mises à jour corrigent plusieurs vulnérabilités directement liées à l’exploit Coruna. Pour iOS 15.8.7 et iPadOS 15.8.7, la firme mentionne trois failles WebKit et une faille affectant le noyau du système. Les premières pouvaient, via une page web piégée, provoquer une corruption de mémoire ou permettre l’exécution de code arbitraire. La seconde pouvait permettre à une application d’exécuter du code avec des privilèges élevés sur l’appareil.
Pour iOS 16.7.15 et iPadOS 16.7.15, Apple ne liste en revanche qu’une seule faille WebKit, déjà corrigée dans iOS 17.2.
À noter que ces correctifs avaient déjà été intégrés dans différentes versions d’iOS publiées entre juillet 2023 et janvier 2024. Les mises à jour diffusées cette semaine les étendent désormais aux appareils qui ne peuvent plus installer les versions récentes du système.
Coruna, un exploit qui combine plusieurs chaînes d’attaque sur iOS
Pour rappel, l’exploit Coruna a été détaillé la semaine dernière dans un rapport publié par Google et la société de sécurité iVerify. Selon leurs analyses, l’outil s’appuie sur cinq chaînes d’exploitation mobilisant au total vingt-trois vulnérabilités d’iOS, utilisées successivement pour contourner les protections du système et obtenir des privilèges élevés sur l’appareil.
Selon iVerify, le framework utilisé dans ces campagnes présente des similarités avec des outils précédemment développés par des acteurs affiliés au gouvernement états-unien. Les chercheurs ont également reconstitué une chronologie d’utilisation inhabituelle. L’exploit aurait d’abord été observé en février 2025 chez un client non identifié d’un fournisseur de logiciels espions.
Quelques mois plus tard, il aurait été utilisé par un groupe de renseignement russe contre des sites ukrainiens compromis. Le kit complet aurait ensuite été récupéré par des acteurs criminels basés en Chine, qui l’ont déployé dans des campagnes d’infection à plus grande échelle via des sites web piégés.
Ce type de chaînes d’exploits n’est pas inédit dans l’écosystème iOS. Des logiciels espions comme Pegasus, développé par l'entreprise israélienne NSO Group, ou Predator, attribué au consortium Intellexa fondé par l’ancien officier israélien Tal Dilian, ont déjà utilisé des enchaînements de failles comparables pour infiltrer des iPhone et accéder aux données des utilisateurs et utilisatrices ciblés.
Si vous possédez encore l’un des modèles d’iPhone ou d’iPad concernés par ces mises à jour, vous savez donc ce qu'il vous reste à faire.
