Ouvrir le menu principal

iGeneration

Recherche

iOS 13.4.5 va boucher une grosse faille dans Mail 🆕

Mickaël Bazoge

vendredi 24 avril 2020 à 07:49 • 166

iOS

iOS 13.4.5 n’arrivera jamais assez tôt. Cette version en bêta du système d’exploitation est en effet censée contenir un correctif pour deux failles de sécurité assez sérieuses. Les chercheurs en sécurité de ZecOps expliquent qu’une vulnérabilité permet à des malandrins de pirater un iPhone en envoyant un simple courriel aux victimes.

ZecOps explique que l’utilisateur n’a même pas besoin de toucher le message pour que son smartphone soit infecté sous iOS 13 (sous iOS 12, il faut que la victime touche le courriel). Il suffit que l’e-mail spécialement conçu soit téléchargé par le client mail de la victime pour que le malware puisse s’installer et faire des ravages.

Mail est vulnérable, mais pas Outlook ni Gmail, selon les chercheurs. Tous les iPhone et iPad sont concernés, depuis iOS 6. Cela fait au moins deux ans que la faille est exploitée par des brigands ; au moins six cibles ont été identifiées : un opérateur télécom japonais, une « grande entreprise américaine », des sociétés tech en Israël et en Arabie saoudite, un particulier en Allemagne et un journaliste européen.

Le problème c’est que le malware en lui-même est difficile à obtenir. ZecOps a rassemblé un faisceau de présomptions dans iOS, mais pas le logiciel malveillant en lui-même, les messages qui le colportent ayant été effacés. Apple a néanmoins pris les choses en main en barricadant iOS dans sa prochaine version. La solution à l’heure actuelle est d’éviter d’utiliser Mail. Plus facile à dire qu'à faire alors qu'iOS ne permet pas de changer de client mail par défaut.

Puisque ces failles semblent si dangereuses, pourquoi ZecOps les dévoile publiquement alors que le correctif n'est pas encore disponible pour tous ? Tout d'abord, les bandits doivent exploiter des bugs supplémentaires pour obtenir l'accès à l'iPhone. De plus, les vulnérabilités dévoilées par les chercheurs ne seront bientôt plus d'aucune utilité, Apple les ayant corrigées — certes, dans une bêta. Les forbans savent que l'opportunité d'exploiter ces failles est en train de s'évanouir et pourraient être tentés de l'utiliser à fond, d'où la nécessité de prévenir les utilisateurs. ZecOps espère qu'en mettant ces deux failles au grand jour, Apple va accélérer le développement d'iOS 13.4.5.

MàJ le 24/04/2020 07:46 : Apple a communiqué sur cette faille de sécurité. L'entreprise explique avoir mené une enquête complète et déterminé que les trois failles de sécurité découvertes dans Mail ne suffisent pas à contourner les sécurités mises en place sur les iPhone et iPad. En clair, ces failles existent bien, mais elles ne suffisent pas à obtenir un accès complet à un appareil iOS et c'est pourquoi elles peuvent attendre une future mise à jour pour être corrigées.

Par ailleurs, la firme de Cupertino indique n'avoir aucune preuve de leur utilisation. C'est un point important, puisque ces failles touchent tous les iPhone depuis iOS 6, mais il faut évidemment rappeler qu'une exploitation a pu avoir lieu à l'insu d'Apple. Quoi qu'il en soit, le correctif intégré à iOS 13.4.5 ne devrait plus trop tarder.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Le HomePod mini gagnerait de nouvelles couleurs, le Vision Pro passerait au noir

19:05

• 2


Jusqu'à 50 % de réduction sur les panneaux lumineux de Nanoleaf

18:08

• 3


Enfin un écran qui comprend le Mac : BenQ sort deux modèles taillés pour vous 📍

17:49

• 0


Test du Kuxiu X33 Pro Max : un chargeur magnétique pour iPad basé sur le Smart Connector

15:30

• 1


SFR pourrait être racheté par Orange, Free et Bouygues, avant un partage

12:40

• 20


Apple réfléchit à une nouvelle génération de Taptic Engine plus durable

10:00

• 11


Apple Watch Ultra 3 : le point complet sur les rumeurs avant le keynote

08:47

• 25


Le système de vérification de l’âge des sites pornos, anonyme ? Pas du tout selon une étude

08:47

• 42


Aqara annonce ses nouveautés à l’IFA 2025, dont une sonnette vidéo filaire et une prise aussi en Thread

08:27

• 15


Promo : un robot aspirateur Roborock à 400 € compatible avec Maison 🆕

06:21

• 22


Apple réinvente les verres auto-teintants dans un brevet pour ses futures lunettes à réalité augmentée

06:15

• 12


Bon plan : la serrure connectée Aqara U200, référence dans l’écosystème Apple, à son prix le plus bas

00:11

• 37


Améliorez vos vidéos en 4K avec Aiarty Video Enhancer (gratuit à l’essai) 📍

04/09/2025 Ă  23:38

• 0


Philips/Signify sort une sonnette connectée, une caméra 2K et un carillon pour sa plateforme Hue

04/09/2025 Ă  20:30

• 14


iPhone 17 Air : le point sur les rumeurs avant le keynote d'Apple

04/09/2025 Ă  18:37

• 62


Strava se réinvente sur Apple Watch et prend en charge les segments en direct

04/09/2025 Ă  18:24

• 21