Dans l'urgence, Apple corrige une faille zero-day frappant iOS et iPadOS

12 avril 2021 à 16h20
7
Apple Store, New York © Alexandre Boero pour Clubic
© Alexandre Boero pour Clubic.com

Le géant Apple, victime d'une vulnérabilité affectant plusieurs de ses produits, a dû propulser dans l'urgence un correctif.

L'actualité autour de la cybersécurité est décidément très chargée. Ce lundi, la société ESET rappelle qu'Apple a dû corriger dans l'urgence, il y a quelques jours, une faille zero-day qui affectait de nombreux appareils de la firme à la pomme, parmi lesquels divers modèles d'iPhone , d'iPad, d'iPod Touch et d'Apple Watch.

La galaxie des appareils Apple touchée, Mac épargné

La mise à jour, publiée en urgence par Apple à la fin du mois de mars, mais dont on a peu entendu parler, concerne les systèmes d'exploitation iOS, iPadOS et watchOS, qui font l'objet d'une exploitation active dans la nature, avec une grave vulnérabilité qui met en danger notamment des appareils récents de la firme californienne.

Plus précisément, la faille concerne :

  • Les iPhone 6s et les versions ultérieures,
  • Toutes les versions de l'iPad Pro, l'iPad Air 2 et les versions ultérieures,
  • La 5e génération d'iPad et les versions ultérieures,
  • L'iPad mini 4 et les versions ultérieures,
  • La 7e génération de l'iPod Touch,
  • Et potentiellement les produits Apple Watch.

Les mises à jour iOS 14.4.2 et iPadOS 14.4.2 ont été mises en ligne et doivent être installées le plus rapidement possible, puisqu'elles concernent les appareils que nous venons de citer. La mise à jour iOS 12.5.2, elle, est aussi à installer, mais elle concerne des modèles plus anciens (iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 et iPod touch (6e génération).

Une faille potentiellement génératrice d'une campagne de phishing

Pour le moment, on ignore quels attaquants ont pu exploiter cette faille ou leur localisation. Ce que l'on sait, c'est que cette faille, répertoriée CVE-2021-1879, trouve sa source dans le moteur de navigateur web open-source d'Apple, WebKit, sollicité par Safari, Mail et d'autres applications iOS et iPadOS.

Cette vulnérabilité, découverte par Clément Lecigne et Billy Leonard, deux ingénieurs de Google, permet à un individu malveillant de tromper sa cible, à distance, en la poussant à cliquer sur un lien créé pour l'occasion. Une fois que la victime clique sur le lien, elle peut ainsi générer malgré elle un code arbitraire qui permet à l'attaquant de dérober des informations et données sensibles, et de mener ensuite une attaque de phishing ou d'aider à l'installation automatique d'un logiciel malveillant sur la machine (technique du drive-by download).

Ce n'est pas la première fois que des spécialistes en cybersécurité de Google décèlent des vulnérabilités dans des produits Apple, comme le rappelle Benoît Grunemwald d'ESET France, et on ne peut aujourd'hui que vous conseiller d'activer les mises à jouer automatiques sur votre appareil à la pomme, ou bien de procéder manuellement à une mise à jour, en allant, sur votre iPhone par exemple, dans le menu « Réglages », puis en appuyant sur « Général » et en choisissant l'onglet « Mise à jour du logiciel ».

Modifié le 12/04/2021 à 16h24
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
7
8
HAL1
Ce que l’on sait, c’est que cette faille, répertoriée CVE-2021-1879, trouve sa source dans le moteur de navigateur web open-source d’Apple, WebKit, sollicité par Safari, Mail et d’autres applications iOS et iPadOS.<br /> Ça rappelle pas mal l’époque où Internet Explorer était tellement imbriqué dans Windows qu’il était régulièrement ciblé pour des attaques exploitant ses failles.
Zakalwe
J’ai un 6s et la 14.4.2 depuis 3 semaines.
Adrianito
«&nbsp;Dans l’urgence&nbsp;»<br /> Je ne veux pas vous vexer mais l’urgence ça fait 3 semaines déjà quand même. Elles ont été mises à disposition le 26 mars ces mises à jour
Vanilla
Donc en clair, si on ne clic sur aucun lien, on risque rien.
benben99
C’est gênant…
eykxas
Sauf que les experts de Google n’ont pas trouvé la faille dans les produits Apple… Mais dans Webkit, qui a certes a été créé par Apple, mais qui est surtout la base de Chrome et de Chromium… (Blink étant un fork de WebKit)
HAL1
eykxas:<br /> Mais dans Webkit, qui a certes a été créé par Apple […]<br /> Par conséquent, en quoi cela serait-il faux de dire que les experts de Google ont trouvé la faille dans les produits Apple ?<br /> Sinon, a-t-on l’information si la faille existe également dans Blink ?
eykxas
Parce que si WebKit a bien été créé par Apple, ce n’est plus un produit Apple depuis bien longtemps (2005). (attention ne pas confondre la marque Webkit, toujours détenu par Apple, et le Webkit Open Source Project qui est réalisé par des tas d’entreprises)
HAL1
Ce n’est pas parce que Webkit n’a pas maintenu uniquement par Apple que la faille affecte nécessairement d’autres produits que ceux de la Pomme. Est-ce le cas ?<br /> Et, encore une fois, pourquoi parler de Blink ? Cette faille met-elle également en péril Chromium et Chrome ?
Voir tous les messages sur le forum

Lectures liées

Honor 50 : le moins cher des haut de gamme se lance à 549 euros... et avec les services Google
Huawei lance sa Watch Fit Mini en Europe, une petite montre AMOLED à prix réduit
Forfait 90Go à moins de 10€, cest la nouvelle offre choc disponible chez Free
Moto Watch 100 : la nouvelle montre connectée de Motorola est confirmée et sera sûrement sous Wear OS
Une encoche sur la Samsung Galaxy Tab S8 Ultra ? C'est ce que semblent indiquer de nouveaux rendus
Amazon veut rentrer dans les hôpitaux et les maisons de retraite, un juteux filon?
La prochaine Apple Watch mesurerait la glycémie ! Les fournisseurs d'Apple s'y affairent
Confiant, Sony lance le Xperia PRO-I : un nouveau smartphone à 1 800 euros
80Go à 10€, l'offre choc RED by SFR prend fin ce soir à minuit 🔥
GX290 Pro, le smartphone ultra-résistant de Gigaset à la batterie XXL (Interview)
Haut de page