iOS 13.4.5 va boucher une grosse faille dans Mail 🆕
iOS 13.4.5 n’arrivera jamais assez tôt. Cette version en bêta du système d’exploitation est en effet censée contenir un correctif pour deux failles de sécurité assez sérieuses. Les chercheurs en sécurité de ZecOps expliquent qu’une vulnérabilité permet à des malandrins de pirater un iPhone en envoyant un simple courriel aux victimes.
ZecOps explique que l’utilisateur n’a même pas besoin de toucher le message pour que son smartphone soit infecté sous iOS 13 (sous iOS 12, il faut que la victime touche le courriel). Il suffit que l’e-mail spécialement conçu soit téléchargé par le client mail de la victime pour que le malware puisse s’installer et faire des ravages.
Mail est vulnérable, mais pas Outlook ni Gmail, selon les chercheurs. Tous les iPhone et iPad sont concernés, depuis iOS 6. Cela fait au moins deux ans que la faille est exploitée par des brigands ; au moins six cibles ont été identifiées : un opérateur télécom japonais, une « grande entreprise américaine », des sociétés tech en Israël et en Arabie saoudite, un particulier en Allemagne et un journaliste européen.
Le problème c’est que le malware en lui-même est difficile à obtenir. ZecOps a rassemblé un faisceau de présomptions dans iOS, mais pas le logiciel malveillant en lui-même, les messages qui le colportent ayant été effacés. Apple a néanmoins pris les choses en main en barricadant iOS dans sa prochaine version. La solution à l’heure actuelle est d’éviter d’utiliser Mail. Plus facile à dire qu'à faire alors qu'iOS ne permet pas de changer de client mail par défaut.
Puisque ces failles semblent si dangereuses, pourquoi ZecOps les dévoile publiquement alors que le correctif n'est pas encore disponible pour tous ? Tout d'abord, les bandits doivent exploiter des bugs supplémentaires pour obtenir l'accès à l'iPhone. De plus, les vulnérabilités dévoilées par les chercheurs ne seront bientôt plus d'aucune utilité, Apple les ayant corrigées — certes, dans une bêta. Les forbans savent que l'opportunité d'exploiter ces failles est en train de s'évanouir et pourraient être tentés de l'utiliser à fond, d'où la nécessité de prévenir les utilisateurs. ZecOps espère qu'en mettant ces deux failles au grand jour, Apple va accélérer le développement d'iOS 13.4.5.
MàJ le 24/04/2020 07:46 : Apple a communiqué sur cette faille de sécurité. L'entreprise explique avoir mené une enquête complète et déterminé que les trois failles de sécurité découvertes dans Mail ne suffisent pas à contourner les sécurités mises en place sur les iPhone et iPad. En clair, ces failles existent bien, mais elles ne suffisent pas à obtenir un accès complet à un appareil iOS et c'est pourquoi elles peuvent attendre une future mise à jour pour être corrigées.
Par ailleurs, la firme de Cupertino indique n'avoir aucune preuve de leur utilisation. C'est un point important, puisque ces failles touchent tous les iPhone depuis iOS 6, mais il faut évidemment rappeler qu'une exploitation a pu avoir lieu à l'insu d'Apple. Quoi qu'il en soit, le correctif intégré à iOS 13.4.5 ne devrait plus trop tarder.
Qu'ils le disent ne me gêne pas, mais qu'ils concluent que ces failles ne présentent pas d'urgence à être comblées est une grosse connerie!
D'une part parce qu'avoir la possibilité d'accéder aux emails peut être un risque majeur (je rappelle qu'on peut recevoir par mail, par exemple, des codes d'accès ou des codes de sécurité, ou des liens pour changer son mot de passe quand on clique "mot de passe oublié" sur beaucoup de sites Web...)
Et d'autre part parce que couplées à d'autres failles, la prise de contrôle total de l'iPhone est possible comme plusieurs chercheurs l'ont montré.
@SyMich
« Apple a communiqué sur cette faille de sécurité. L'entreprise explique avoir mené une enquête complète et déterminé que les trois failles de sécurité découvertes dans Mail ne suffisent pas à contourner les sécurités mises en place sur les iPhone et iPad. En clair, ces failles existent bien, mais elles ne suffisent pas à obtenir un accès complet à un appareil iOS et c'est pourquoi elles peuvent attendre une future mise à jour pour être corrigées. » il n’est marqué nulle part mais absolument nulle part qu’ils ont dit qu’il n’y a pas d’urgence à les comblés... surtout qu’avec la prochaine MAJ cela sera comblé donc dire qu’ils ont dit qu’il n’y avait pas d’urgence à les comblées😳😳😳
@Krysten2001 :
« il n’est marqué nulle part mais absolument nulle part qu’ils ont dit qu’il n’y a pas d’urgence à les comblés... surtout qu’avec la prochaine MAJ cela sera comblé donc dire qu’ils ont dit qu’il n’y avait pas d’urgence à les comblées😳😳😳 »
Sauf que, bien essayé, mais en l'occurrence c'est exactement ce qu'Apple dit :
"We [...] have concluded that these issues do not pose an immediate risk to our users. [...] These potential issues will addressed in a software update soon."
Si c'est la manière dont Apple s'occupe des urgences, alors il y a clairement du souci à se faire...
@webHAL1
« we have thoroughly investigated researcher's report and , based on the information provided, have concluded these issues do not pose an immediate risk to our users » où fait-il marquer qu’ils ont dit qu’il n’y a pas d’urgence à les combler ? Ils ont dit que les failles n’ont pas de risque immédiat sur les utilisateurs et que la prochaine MAJ la comblera. Ils n’ont jamais dit « oh on ne va pas la combler tout de suite » juste le fait que les failles seules n’ont pas de risque et que ce sera régler dans la prochaine MAJ mais dire que ce n’est pas si urgent à régler ce n’est écrit nul part.
@Krysten2001 :
« Ils n’ont jamais dit "oh on ne va pas la combler tout de suite" [...] »
Si, c'est exactement ce qu'ils disent.
@webHAL1
Ben non. Ils ont que ce sera combler à la prochaine mise à jour qui arrive d’ici peu mais dire qu’ils ont dit qu’il n’y a pas d’urgence à la combler et que ça peut durer des années c’est totalement faux
@Krysten2001
Pardon ? Qui a dit que "ça peut durer des années" ?
@webHAL1
Personne mais la façon dont vous écrivez, laisse croire cela.
Ils ne disent d'ailleurs pas "dans la prochaine mise à jour" mais "dans UNE prochaine mise à jour" sachant que si pour iOS13 la beta de LA prochaine mise à jour semble boucher les failles, pour iOS12, iOS10, iOS9 (pour les appareils bloqués sur ces versions...) personne n'a vu la moindre bêta d'une éventuelle mise à jour à venir.
@SyMich
Oui, je l'ai noté également. Ça renforce l'impression qu'Apple ne considère pas la correction de cette faille comme prioritaire.
@webHAL1
Oui oui bien sûr...
@SyMich
« these potential issues will be adressed in a software update soon. » donc en toute logique à la prochaine mise à jour d’iOS. Et ils pourraient faire une MAJ sur iOS12 comme ils l’ont déjà fait.
En faisant le tour rapidement de la question, la faille semble permettre de prendre la main sur l'application mail. Chaque application étant executer dans un "bac à sable" elle ne suffit pas à prendre le controle de téléphone.
Elle est plus dangereuse, si effectivement elle est combiné avec d'autres failles qui permettent d'avoir une accès super-utilisateur(root) sur le telephone (jailbreak) comme la faille checkm8 qui semble la plus dangeureuse dans le domaine et même utilisé par les services de polices maintenant car impossible à patcher au niveau logiciel.
Mais apparemment pour pouvoir executer checkm8, il faut un accès physique au téléphone, de plus cette faille n'existe plus sur les iphones à partir des puces A12, iphone XS, XR, 11...
Donc potentiellement, le risque est surtout d'avoir ses mails exposés ou utilisés, avec un accès mail on peut récupérer des mots de passe par exemple.
Des failles, il y en a sur tous les systèmes dont beaucoup ne seront jamais corrigées.
Je reconnais quand même que la qualité du code semble se dégrader chez apple, expérience perso par exemple, je n'ai pas voulu passer à Catalina sur mon macbook pro 2015, car j'ai plusieurs applications qui seraient incompatibles.
Mais j'ai fait dernièrement la dernière mise à jour de sécurité de Mojave, resultat je me suis retrouvé à enchainer les blocages complets du système. Comme à la bonne vieille époque des anciens windows mais sans l'ecran bleu. Le problème semble commencer à tourner sur les forums américains.
J'ai pu revenir en arrière assez facilement en réinstallant le mac et en gardant mes données ce qui m'a ramené à l'ancienne mise à jour de sécurité et à corrigé le problème.
On rappellera que, en matière de sécurité informatique, il est obligatoire de prendre en compte tous les aspects et aborder le sujet de manière holistique:
- Nombre de failles
- Gravité de chacune
- Probabilité d'exploitation de chacune (une faille grave sur des appareils très peu répandus et utilisés pour des activités n'offrant aucune valeur aura peu de risque d'être exploitée)
- Facilité d'exploitation de chacune (y compris, et c'est important, par rapport au degré de confiance des utilisateurs en leur appareil et leurs connaissances techniques)
- Rapidité de correction de chacune
- Déploiement des correctifs dans le parc installé (facilité de le faire, rapidité avec laquelle cela est fait)
- Exploitations connues
Ces dernières années les exemples de faille iOS n'ont pas manqués, par exemple celle exploitée par les autorités chinoises pour espionner les Ouïgours. Une faille iOS, qui est un système qui pourrait être considéré comme plus sûr que d'autres, qui est restée présente pendant des années, permettait d'obtenir des données importantes et pouvait être exploitée de manière extrêmement simple. Et la réponse d'Apple n'avait pas été à la hauteur.
Nouvel exemple avec cette faille de Mail dans iOS. Et, encore une fois, Apple ne réagit pas de manière appropriée, en tentant de minimiser le problème. Il est préoccupant qu'une entreprise de cette dimension se serve d'arguments de type "on ne sait pas trop si la faille a été exploitée ou non, donc on va considérer que ça n'a pas été le cas et la corriger quand on aura un moment"... :-/
@webHAL1
« Ces dernières années les exemples de faille iOS n'ont pas manqués, par exemple celle exploitée par les autorités chinoises pour espionner les Ouïgours. Une faille iOS, qui est un système qui pourrait être considéré comme plus sûr que d'autres, qui est restée présente pendant des années, permettait d'obtenir des données importantes et pouvait être exploitée de manière extrêmement simple. Et la réponse d'Apple n'avait pas été à la hauteur. » c’est toujours le cas, il y a juste à voir l’histoire du FBI, ces failles qui ne permettent pas de prendre full contrôle de l’iPhone, le système de bac à sable d’iOS,... et quel est cette fameuse réponse d’Apple ? Car même Macg ne la pas mise.
« Nouvel exemple avec cette faille de Mail dans iOS. Et, encore une fois, Apple ne réagit pas de manière appropriée, en tentant de minimiser le problème. Il est préoccupant qu'une entreprise de cette dimension se serve d'arguments de type "on ne sait pas trop si la faille a été exploitée ou non, donc on va considérer que ça n'a pas été le cas et la corriger quand on aura un moment"... :-/« ah ça y est minimiser le problème :) c’est vrai que dire la vérité c’est minimiser... et Apple a dit: « these potential issues will be adressed in a software update soon. » donc celle qui va arriver. Merci de ne pas faire du vent pour rien en faisant des longs textes pour dire des conneries.
@Krysten2001 :
« Merci de ne pas faire du vent pour rien en faisant des longs textes pour dire des conneries. »
Et cette phrase est écrite par la personne qui, juste ci-dessus, affirmait :
"[...] mais dire qu’ils ont dit qu’il n’y a pas d’urgence à la combler et que ça peut durer des années c’est totalement faux."
Alors que personne n'avait jamais dit ou même sous-entendu cela, mais "la façon dont vous écrivez, laisse croire cela".
Amusant.
Ou pathétique, c'est selon. ^_^
Pages