iOS 13.4.5 va boucher une grosse faille dans Mail 🆕

Mickaël Bazoge |

iOS 13.4.5 n’arrivera jamais assez tôt. Cette version en bêta du système d’exploitation est en effet censée contenir un correctif pour deux failles de sécurité assez sérieuses. Les chercheurs en sécurité de ZecOps expliquent qu’une vulnérabilité permet à des malandrins de pirater un iPhone en envoyant un simple courriel aux victimes.

ZecOps explique que l’utilisateur n’a même pas besoin de toucher le message pour que son smartphone soit infecté sous iOS 13 (sous iOS 12, il faut que la victime touche le courriel). Il suffit que l’e-mail spécialement conçu soit téléchargé par le client mail de la victime pour que le malware puisse s’installer et faire des ravages.

Mail est vulnérable, mais pas Outlook ni Gmail, selon les chercheurs. Tous les iPhone et iPad sont concernés, depuis iOS 6. Cela fait au moins deux ans que la faille est exploitée par des brigands ; au moins six cibles ont été identifiées : un opérateur télécom japonais, une « grande entreprise américaine », des sociétés tech en Israël et en Arabie saoudite, un particulier en Allemagne et un journaliste européen.

Le problème c’est que le malware en lui-même est difficile à obtenir. ZecOps a rassemblé un faisceau de présomptions dans iOS, mais pas le logiciel malveillant en lui-même, les messages qui le colportent ayant été effacés. Apple a néanmoins pris les choses en main en barricadant iOS dans sa prochaine version. La solution à l’heure actuelle est d’éviter d’utiliser Mail. Plus facile à dire qu'à faire alors qu'iOS ne permet pas de changer de client mail par défaut.

Puisque ces failles semblent si dangereuses, pourquoi ZecOps les dévoile publiquement alors que le correctif n'est pas encore disponible pour tous ? Tout d'abord, les bandits doivent exploiter des bugs supplémentaires pour obtenir l'accès à l'iPhone. De plus, les vulnérabilités dévoilées par les chercheurs ne seront bientôt plus d'aucune utilité, Apple les ayant corrigées — certes, dans une bêta. Les forbans savent que l'opportunité d'exploiter ces failles est en train de s'évanouir et pourraient être tentés de l'utiliser à fond, d'où la nécessité de prévenir les utilisateurs. ZecOps espère qu'en mettant ces deux failles au grand jour, Apple va accélérer le développement d'iOS 13.4.5.

MàJ le 24/04/2020 07:46 : Apple a communiqué sur cette faille de sécurité. L'entreprise explique avoir mené une enquête complète et déterminé que les trois failles de sécurité découvertes dans Mail ne suffisent pas à contourner les sécurités mises en place sur les iPhone et iPad. En clair, ces failles existent bien, mais elles ne suffisent pas à obtenir un accès complet à un appareil iOS et c'est pourquoi elles peuvent attendre une future mise à jour pour être corrigées.

Par ailleurs, la firme de Cupertino indique n'avoir aucune preuve de leur utilisation. C'est un point important, puisque ces failles touchent tous les iPhone depuis iOS 6, mais il faut évidemment rappeler qu'une exploitation a pu avoir lieu à l'insu d'Apple. Quoi qu'il en soit, le correctif intégré à iOS 13.4.5 ne devrait plus trop tarder.


avatar raoolito | 

"La solution à l’heure actuelle est d’éviter d’utiliser Mail."

hahahaha
bon plus sérieusement la solution est de reinstaller l'iphone mais pas la sauvegarde ?
ou alors d'attendre la mise à jour aussi, de toutes façons, si le malware est deja là...

avatar frankm | 

@raoolito

La mise à jour doit faire le nettoyage discrètement !

avatar strix80 | 

@raoolito

Utilisez Mail avec macOS au lieu d’iOS , donc sur un iMac et éviter les iMobiles ...

avatar AhRiMaN | 

« Éviter d’utiliser mail »
Ça tombe bien car justement ....😆

avatar Totoche31 | 

Et quel est l’impact concret ? Vol de données ? ...

avatar TrollMan06 | 

@Totoche31

Je t’ai vu hier te curer le nez.

Maintenant tu as une idée de ce que fait la faille 🤗

avatar Krysten2001 | 

@Totoche31

https://twitter.com/rmogull/status/1253124362632228870?s=21
Apparemment pas assez de preuve 🤔

avatar albert13 | 

même si dans mail on utilise un compte gmail ?...

avatar Tomtomrider | 

@albert13

Oui puisque le mail sera téléchargé de la même façon, c’est le client mail qui est en cause là apparemment

avatar bidibout | 

Le correctif est-il déjà présent dans la bêta d'iOS 13.4.5 ?

avatar albert13 | 

Ravages de quels genres SVP ?
visibles ou pas ?
c’est super inquiétant... et en plus depuis 2 ans ?!?!?
top de chez top cette nouvelle 😡😡

avatar ios | 

@albert13

« Tous les iPhone et iPad sont concernés, depuis iOS 6 »
Très loin des 2 ans, on est plus proche de 8 ans (iOS 6 en Septembre 2012)

avatar iSc0tty | 

@ios

Non la phrase signifie que la faille touche jusqu’à iOS 6, mais que le malware est actif depuis 2 ans en gros.
Sûrement que la faille exploite des features ou un bout de code intégré dans a ce moment là. Ou que les systèmes antérieurs sont trop anciens et que les pirates n’ont même pas pris la peine de l’adapter à eux.

avatar Krysten2001 | 

@albert13

https://twitter.com/rmogull/status/1253124362632228870?s=21
Pas assez de preuve apparemment

avatar albert13 | 

@Krysten2001

Merci Krysten2001 mais l’english n’est pas mon fort... sorry...

avatar Krysten2001 | 

@albert13

Il y a la traduction sur Twitter non ?🤔

avatar 5ebastien | 

Comment peut-on avoir une faille juste sur une entête de message?

avatar dodomu | 

@5ebastien

La faille n’est à priori pas dans l’entête lui même, mais dans la façon dont il sera interprété par le client mail utilisé. Il existe plein de client mail différents, qui lisent et interprètent les mail de différentes façons.
La faille réside ici dans la façon de faire du client Mail d’iOS, qui comporte des failles, exploitées par le pirate à l’origine du mail frauduleux. De plus, Mail étant une app système, elle a sûrement accès à certaines fonctionnalités auquel les développeurs « standards » n’ont pas accès...

avatar Krysten2001 | 

@5ebastien

https://twitter.com/rmogull/status/1253124362632228870?s=21
A voir si il y a assez de preuve 🤔 pas sûr que ça prenne autant d’ampleur

avatar SyMich | 

Bon vous allez peut-être arrêter de le répéter! Déjà 25 fois, ça fait beaucoup...
Surtout que vous écrivez une grosse bêtise! Ce n'est pas l'ampleur de la faille qui est questionnée par ce twittos mais l'ampleur de son exploitation 😔
Ce dont les découvreurs ne se cachent pas! Ils ont listés les cas avérés d'exploitation de la faille, tout en indiquant que les mails actifs étant supprimés dès l'accès à l'iPhone obtenu, ils n'ont pas encore pu obtenir un exemplaire du malware pour l'étudier plus en détail et en chercher la trace sur d'autres iPhones, ce qui ne permet pas d'estimer combien d'iPhones ont pu être attaqués ainsi depuis que la faille existe sur iOS6.

avatar Krysten2001 | 

@SyMich

« They’ve made some big claims… but from what they wrote it’s hard to see proof of exploitation. Basically, the bug is there but on its own can’t fully expose the phone… so where is the exploit chain or evidence of remote code execution? That’s what we need to really assess it. »
Qui croire ? Est-ce que la faille permet autant de chose ?

avatar nespresso92 | 

Ai-je bien compris, cela fait fait 2 ans que la faille n’est toujours pas bouchée ? Et donc exploitée par des malandrins....

« The vulnerabilities only impact the native Mail application, and not third-party apps. »
Donc pas concerné car utilisateur de Airmail et Spark.

avatar marenostrum | 

des failles comme ça il doit avoir une dizaine. elle ne sont jamais rendue publique. mais il ne vont pas d'attaquer si t'es une personne ordinaire. si dans ton iPhone y a rien de valeur qui mérite un attaque de ce genre.

avatar nespresso92 | 

@marenostrum

Tout d’abord ce n’est pas pas remarque, laisser une faille ouverte pendant 2 ans en connaissance de cause est inacceptable et ce n’est pas sujet à discussion.

De plus, les personnes ciblées, outre les journalistes ou les VIP, sont les employées des sociétés Fortune 500 dont je fais aussi partie. Certains utilisent leurs mobiles aussi à titre professionnel et échangent donc des informations clients confidentielles.

avatar marenostrum | 

ils ne savent pas la faille ou les failles. comment les régler.

avatar nespresso92 | 

@marenostrum

Il faut arrêter de défendre aveuglément une société qui se dit toujours sans reproche.
Et quand on ne sait pas,!on avertit ses clients afin qu’ils puissent prendre les mesures adéquates. Mais ce n’est pas envisageable puisque Apple est au dessus de toute faute.

avatar Dimemas | 

De toute façon tu as vu leur déclaration ?
Classique chez eux, le discours est rodé !

Circulez ! C’est pas grave, c’est un malware dur à avoir et faites la sauvegarde

Je comprends mieux pourquoi je reçoit depuis des mois pleins de mail à la con du genre ...

avatar victoireviclaux | 

@nespresso92

Qu'est ce que t'en sais que cette faille a été laissé volontairement... ? Tu bosses chez eux ?

Des failles en informatique existent tout le temps, c'est juste qu'il y a des sociétés ou des états qui essayent de les trouver (tout en les gardant pour eux, dans le but de les exploiter, ou de les vendre concernant les pirates).

avatar nespresso92 | 

@victoireviclaux

C’est incroyable d’entendre de pareilles inepties. Cette faille est connue et exploitée depuis 2 ans et peut être même depuis plus longtemps.
Quelque soit la raison pour laquelle elle n’est pas corrigée est inacceptable, et toutes excuses est irrecevables.

« The vulnerabilities exist at least since iOS 6 – (issue date: September 2012) – when iPhone 5 was released »

« We are aware of multiple attacks that happened starting from Jan 2018, on iOS 11.2.2. It is likely that the same threat operators are actively abusing these vulnerabilities presently. It is possible that the attacker(s) were using this vulnerability even earlier. »

https://blog.zecops.com/vulnerabilities/unassisted-ios-attacks-via-mobilemail-maild-in-the-wild/

avatar marenostrum | 

il dit rien ton texte. pas plus que l'article. ils disent qu'y a une faille dans Mail depuis des années et c'est tout. on ne connait pas la faille, ni la méthode utilisée.

Apple peut la trouver maintenant en regardant la différence de Mail et les programmes qui ne l'ont pas.

avatar nespresso92 | 

@marenostrum

On ne peut rien pour vous.

avatar victoireviclaux | 

@nespresso92

On ne peut plus rien pour toi si tu manques de pédagogie. Et si tu peux arrêter ton charabia sur chaque commentaire, ça serait encore mieux.

avatar Krysten2001 | 

@victoireviclaux

Si Apple connaissait les failles on aurait un OS sans faille ce qui est impossible 🤣😂 il y a des personnes par moment...

avatar Tabouret3 | 

@Krysten2001

On attendait plus que ta divine intervention Lucas. La boucle est bouclée.

Ps. si tu pouvais mettre le hola sur ton utilisation des émoticônes...

avatar Krysten2001 | 

@Tabouret3

Oui bien sûr. C’est bien de coller des étiquettes aux gens, à vous croire supérieur. Être mieux que des ingénieurs ou penser qu’ils connaissent les failles... si cela était le cas, le système serait sans failles...
PS: je fais ce que je veux, vous n’avez pas à me dire ce que je faire, je mets des emoji si je veux.

avatar nespresso92 | 

@victoireviclaux

Pédagogie ? C'est une plaisanterie. Quand il est écrit que c'est blanc vous persistez à dire que c'est noir.
Apprenez à lire et à vous instruire. L'effort est la meilleure récompense d'un travail bien fait. Tout est expliqué en noir sur blanc et il y a même des photos.
Alors, votre verbiage gardez le pour vous.

avatar Ichigo-Roku | 

@nespresso92 : franchement t'y connais rien pour sortir ce genre d'inepties, pourquoi est-ce toujours ceux qui en savent le moins qui l'ouvre le plus ? C'est incroyable...

avatar nespresso92 | 

@Ichigo-Roku

Et votre commentaire à la hauteur de votre intelligence.

avatar YoanGJ | 

@nespresso92

Apple ne l’a pas laissé ouverte en connaissance de cause, les seuls au courant de cette faille jusqu’à maintenant étaient les malandrins qui l’exploitaient

avatar Calorifix | 

Apple se vante partout d'avoir l'OS le plus avancé au monde, le plus sécure, le plus tout. Donc laisser ouvert une faille pendant 2 ans est impardonnable !

avatar Krysten2001 | 

@Calorifix

Apple n’était pas en connaissance de cette faille.

avatar mâle_blanc_cis_het_et_fier | 

"Donc laisser ouvert une faille pendant 2 ans est impardonnable !"

Et "non détectée" pendant presque 8ans. :)

avatar hirtrey | 

@mâle_blanc_cis_het_et_fier

La faille BadTunnel dans Windows a été détecté 20 ans après.

avatar victoireviclaux | 

@mâle_blanc_cis_het_et_fier

C'est pas propre à Apple. Windows a fait pire. Tout ça pour dire qu'aucun OS n'est sécurisé à 100%.

avatar Krysten2001 | 

@nespresso92

https://twitter.com/rmogull/status/1253124362632228870?s=21
De ce que je vois il n’y a pas assez de preuve qui permette un contrôle total

avatar nespresso92 | 

@Krysten2001

Ils ne parle parle pas de contrôle total du téléphone mais du manque de preuve d’utilisation de la faille.

Zuck lui semble dit le contraire.
https://twitter.com/ihackbanme/status/1252983336391176192?s=21

https://twitter.com/ihackbanme/status/1252970613636915201?s=21

Donc il y a des experts qui expliquent le problème techniquement...

https://blog.zecops.com/vulnerabilities/unassisted-ios-attacks-via-mobilemail-maild-in-the-wild/

...et ceux qui nient l’exploitation de la faille.

Le fond est différent mais la forme est la même sur les divergences concernant la chloroquine entre « experts » médicaux.
Après je vous laisse choisir votre camp, car je n’ai pas d’objectif de convaincre qui se soit surtout que le sujet est particulièrement technique et que les « experts » en sécurité divergent sur le fond.

avatar Krysten2001 | 

@nespresso92

Pretty big claim of a no-click mail 0-day being used. Ils y en a qui ne sont pas d’accord. Qui croire ?

Pages

CONNEXION UTILISATEUR