🔴 Soldes : jusqu'à - 60% sur le high-tech 🔴 Soldes d'été : jusqu'à - 50% sur le high-tech

FORCEDENTRY : les détails de la faille "zero day" des iMessages utilisée par Pegasus pour infecter les iPhone

14 septembre 2021 à 10h45
11
Apple Store © ©  Trac Vu - Unsplash
© Trac Vu - Unsplash

Citizen Lab a détaillé dans un article de blog le fonctionnement d'une faille zero day et zero click utilisée pour infecter des appareils Apple avec Pegasus .

Tous les appareils de la marque sont concernés et Apple a sorti un correctif pour tous ses systèmes d'exploitation, qu'il est conseillé d'installer dès maintenant.

Une faille présente dans CoreGraphics

En mars 2021, les chercheurs de Citizen Lab se sont chargés d'analyser le téléphone d'un activiste saoudien. Durant leurs recherches, ils ont découvert que l'appareil avait bien été infecté avec Pegasus, le logiciel espion de l'entreprise israélienne NSO Group. Ils ont également récupéré des fichiers présents dans une sauvegarde iTunes du téléphone afin de les étudier.

Après une nouvelle analyse de ces derniers, ils ont découvert que plusieurs d'entre eux possédaient une extension « .gif » et avaient été envoyés sur le téléphone juste avant l'infection. Ces fichiers, en réalité des fichiers PSD et PDF, exploitaient une faille présente dans CoreGraphics, la bibliothèque de rendu d'images d'Apple.

Ce n'était pas la première fois qu'ils rencontraient ce bug. Le 24 août dernier, la faille avait déjà été mentionnée dans un rapport du collectif à propos du hack de téléphones d'activistes bahreïnis, suite à quoi des preuves de son utilisation pour infecter les appareils avec Pegasus avaient été repérées. Nommée « FORCEDENTRY » pour sa capacité à passer outre BlastDoor, une sécurité pour iMessage introduite par Apple en début d'année, elle exploite une vulnérabilité de type dépassement d'entier (integer overflow).

Une faille zero click particulièrement sensible

Désormais désignée comme « CVE-2021-30860 », elle permet à un attaquant d'exécuter des commandes à l'aide d'un PDF malveillant et de gagner le contrôle total de l'appareil. Cette faille est particulièrement sensible puisqu'elle est « zero click » : les utilisateurs ont été infectés sans aucune action de leur part, recevoir le fichier sur iMessage était suffisant. Apple a été informée dès le 7 septembre des nouvelles découvertes de Citizen Lab et a sorti le 13 septembre un correctif pour macOS Catalina, macOS Big Sur 11.6, watchOS 7.6.2, iOS 14.8 et iPadOS 14.8.

Une autre faille a été corrigée, la CVE-2021-30858. Celle-ci concerne WebKit, le moteur de rendu d'Apple utilisé par les navigateurs présents sur les appareils de la marque. Elle permet à du contenu web malveillant d'exécuter du code arbitraire et pourrait être activement exploitée d'après la marque. Safari 14.1.2 est donc également concerné par le correctif et il est conseillé de faire chacune des mises à jour au plus vite.

Source : Citizen Lab

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
11
10
ben100g
mieux vaut en rire vu la gravité du truc … avec une pensée émue quand même pour toutes les personnes à qui on ment depuis des années en leur disant « AAPL c’est hyper-secure … »
xryl
Quel rapport avec la bourse ?
UncleJul
Le jour où les ransomwares commencent à utiliser ce genre de portes d’entrées, ou qu’un état s’en sert pour mettre à genoux l’économie d"un autre, c’est clair que ça fait peur.
LeToi
Du coup cette infection n’aurait pas été possible s’ils n’avaient pas utilisé iMessage ? Ce genre de fichier passe par MMS ou pas, à partir du moment ou c’est un PDF et non un vrai GIF ?
ben100g
Apple si tu préfères … comme c’est une boite qui vit par et pour le fric uniquement! je préfère l’appeler AAPL, c’est plus clair, plus honnête.
cid1
ouh là, ils ont pris cher, les Iphone users, mais au-delà de ça, ce virus peut-il infecter un système Android? D’après ce que j’ai compris c’est non car ça passe par iMessage appartenant seulement au système de logiciels Apple, mais sais t-on jamais?
Gam-ill
Non mais c’est qu’ils baragouinent du français ces hackers israélien «&nbsp;Forcedentry&nbsp;».<br /> FBI Open up
gnouman
Oui c’est vrai les autres sociétés elles ne vivent que pour être philanthrope. Je m’en vais de ce pas donner de l’argent à Microsoft et Google.
Ico7liv
quelle singularité, que d’hardiesse, quel homme !
ben100g
tu le fais déjà … la différence entre elles c’est l’hypocrisie et la sectarisme.
tfpsly
ce virus peut-il infecter un système Android? D’après ce que j’ai compris c’est non car ça passe par iMessage<br /> Pegasus est un système d’espionnage, pas un virus. Il y a plusieurs versions et plusieurs portes d’entrées suivant la cible. iMessage sur Apple car c’est une passoire longtemps non sandboxée.<br /> Sur Android l’entrée se fait par des apps installés à partir de stores; il essaye d’utiliser des méthodes de rootage, ce qui ne fonctionne que sur les téléphones ne nécessitant pas un PC pour être rooté (pas les Samsungs par exemple); si ça foire il demande les permissions à l’utilisateur, ce qui est visible.
Voir tous les messages sur le forum

Lectures liées

Avec NordVPN et son offre des soldes, partez en vacances l'esprit tranquille
Attention à ce scam qui a déjà fait 10 millions de victimes sur Facebook
Le VPN de CyberGhost est à prix vraiment cassé en ce moment !
CyberGhost, le VPN à petit prix pendant les soldes d'été !
Sécurisez-vous pendant vos vacances grâce à NordVPN et son offre VPN à prix fou !
Soldes d'été : les VPN profitent également de prix cassés !
Ce nouveau malware s'en prend aux YouTubeurs
Pour les soldes, NordVPN sort le grand jeu avec son offre VPN à prix cassé !
Un autre service VPN quitte l'Inde pour échapper aux nouvelles régulations
Ameli : une campagne de phishing continue sur le site de l’assurance maladie, êtes-vous concerné ?
Haut de page