FORCEDENTRY : les détails de la faille "zero day" des iMessages utilisée par Pegasus pour infecter les iPhone

14 septembre 2021 à 10h45
9
Apple Store © ©  Trac Vu - Unsplash
© Trac Vu - Unsplash

Citizen Lab a détaillé dans un article de blog le fonctionnement d'une faille zero day et zero click utilisée pour infecter des appareils Apple avec Pegasus .

Tous les appareils de la marque sont concernés et Apple a sorti un correctif pour tous ses systèmes d'exploitation, qu'il est conseillé d'installer dès maintenant.

Une faille présente dans CoreGraphics

En mars 2021, les chercheurs de Citizen Lab se sont chargés d'analyser le téléphone d'un activiste saoudien. Durant leurs recherches, ils ont découvert que l'appareil avait bien été infecté avec Pegasus, le logiciel espion de l'entreprise israélienne NSO Group. Ils ont également récupéré des fichiers présents dans une sauvegarde iTunes du téléphone afin de les étudier.

Après une nouvelle analyse de ces derniers, ils ont découvert que plusieurs d'entre eux possédaient une extension « .gif » et avaient été envoyés sur le téléphone juste avant l'infection. Ces fichiers, en réalité des fichiers PSD et PDF, exploitaient une faille présente dans CoreGraphics, la bibliothèque de rendu d'images d'Apple.

Ce n'était pas la première fois qu'ils rencontraient ce bug. Le 24 août dernier, la faille avait déjà été mentionnée dans un rapport du collectif à propos du hack de téléphones d'activistes bahreïnis, suite à quoi des preuves de son utilisation pour infecter les appareils avec Pegasus avaient été repérées. Nommée « FORCEDENTRY » pour sa capacité à passer outre BlastDoor, une sécurité pour iMessage introduite par Apple en début d'année, elle exploite une vulnérabilité de type dépassement d'entier (integer overflow).

Une faille zero click particulièrement sensible

Désormais désignée comme « CVE-2021-30860 », elle permet à un attaquant d'exécuter des commandes à l'aide d'un PDF malveillant et de gagner le contrôle total de l'appareil. Cette faille est particulièrement sensible puisqu'elle est « zero click » : les utilisateurs ont été infectés sans aucune action de leur part, recevoir le fichier sur iMessage était suffisant. Apple a été informée dès le 7 septembre des nouvelles découvertes de Citizen Lab et a sorti le 13 septembre un correctif pour macOS Catalina, macOS Big Sur 11.6, watchOS 7.6.2, iOS 14.8 et iPadOS 14.8.

Une autre faille a été corrigée, la CVE-2021-30858. Celle-ci concerne WebKit, le moteur de rendu d'Apple utilisé par les navigateurs présents sur les appareils de la marque. Elle permet à du contenu web malveillant d'exécuter du code arbitraire et pourrait être activement exploitée d'après la marque. Safari 14.1.2 est donc également concerné par le correctif et il est conseillé de faire chacune des mises à jour au plus vite.

Source : Citizen Lab

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
9
9
Voir tous les messages sur le forum

Lectures liées

Bon plan VPN : 2 mois gratuits + 1,93€/mois seulement chez Surfshark
Hôtels, gouvernements et entreprises : voici FamousSparrow, la nouvelle terreur du cyberespionnage
Voir l'écran du smartphone de son conjoint en temps réel sur une page web, c'est le business de cette entreprise de stalking
Bon Plan antivirus : Avast Ultimate à -60% pour les French Days
Bitdefender Total Security : un excellent antivirus à -60%
Le programme de bug bounty créé pour sécuriser Internet désormais hébergé chez HackerOne
CyberGhost VPN : profitez de l'offre à 1,90€/mois + 2 mois gratuits
AMD : une faille permet d'accéder à certaines pages mémoire de Windows et d'y trouver vos mots de passes
CyberGhost lance son VPN Gaming sur consoles (Playstation, Xbox et Nintendo)
Sélection rentrée antivirus : les meilleures offres du moment chez Bitdefender et Norton
Haut de page