iOS 14.8, watchOS 7.6.2 et macOS 11.6 bouchent une faille Pegasus « zero-day, zero-click » 🆕

Mickaël Bazoge |

Les mises à jour iOS 14.8, watchOS 7.6.2 et macOS 11.61 doivent être installées séance tenante : elles corrigent deux failles « zero day » qui ont été exploitées dans la nature, explique Apple dans la fiche d'assistance.

Crédit : Thomas Hawk, CC BY-NC 2.0

La faille CVE-2021-30860 a été rapportée par The Citizen Lab, qui avait repéré le mois dernier une très sérieuse faille iOS permettant d'infecter un iPhone sans intervention de l'utilisateur (« zero click »), à travers Messages. Cette vulnérabilité, baptisée FORCEDENTRY, a notamment été utilisée par NSO Group, une entreprise qui développe le mouchard Pegasus dont on a pas mal entendu parler (en mal) cet été.

Le malware d’espionnage Pegasus est toujours plus efficace et utilisé

Le malware d’espionnage Pegasus est toujours plus efficace et utilisé

Le labo canadien a signalé la faille à Apple le 7 septembre, qui lui a assigné le code CVE-2021-30860. Le constructeur explique que le mode opératoire de la vulnérabilité passe par le traitement d'un PDF malveillant qui peut entraîner l'exécution de code arbitraire.

Selon Citizen Lab, FORCEDENTRY est exploité depuis au moins février 2021. Au mois de mars, l'équipe a examiné le téléphone d'un activiste saoudien, et a pu déterminer qu'il avait été infecté par Pegasus avec la méthode décrite par Apple (en l'occurrence, les fichiers malveillants reçus étaient des GIF qui cachaient en fait un fichier PDF).

Le mois dernier, Apple a indiqué qu'iOS 15 allait encore renforcer les protections d'iOS contre ces failles, qui parviennent à contourner BlastDoor, une sécurité introduite avec iOS 14.

iOS 15 : dans Messages, des protections supplémentaires contre le malware Pegasus

iOS 15 : dans Messages, des protections supplémentaires contre le malware Pegasus

Mise à jour 0h30 — Dans une déclaration partagée à la presse US, Apple confirme que la mise à jour corrige bien une vulnérabilité iMessage signalée par Citizen Lab. Le constructeur reprend aussi son couplet habituel sur Pegasus, selon lequel les attaques de ce type sont « hautement sophistiquées, elles coûtent des millions de dollars à développer, ont souvent une durée de vie courte et sont utilisées pour cibler des individus spécifiques ».

Tout cela n'exonère pas Apple de faire correctement son boulot : « Tandis que ces attaques ne concernent pas l'écrasante majorité de nos utilisateurs, nous continuons à travailler sans relâche pour défendre tous nos clients, et nous ajoutons constamment de nouvelles protections pour leurs appareils et leurs données ».


  1. macOS Catalina est également protégé grâce à la mise à jour de sécurité 2021-005, à appliquer de toute urgence donc. ↩︎


avatar pat3 | 

Pas encore arrivé chez moi…
ah si, sur iOS, mais pas sur macOS. Et sur tvOS, pas de souci ?

avatar Tomtomrider | 

@pat3

Pas de message, pas de gif, pas de pdf. Du coup j’imagine que c’est pour ça qu’il n’y a pas d’update 🤷🏻‍♂️

avatar Artefact3000 | 

Et c’est là que les beta testeurs se demandent s’ils sont protégés de ces failles sous iOS beta 8 ou pas.

avatar quentinf33 | 

@Artefact3000

Pas de soucis, la RC aura la vulnérabilité corrigée. Même possible que la beta 8 la corrige déjà.

avatar Artefact3000 | 

@quentinf33

Mais pour l’instant, on l’ignore. Apple ne communique pas à ce sujet.

avatar quentinf33 | 

@Artefact3000

Encore moins si la bêta 8 la corrige, car on saurait qu’elle aurait toujours été exploitable dans iOS 14.7 !

avatar iNicolas1721 | 

Et pour Mojave ?

avatar Mickaël Bazoge | 
Rien pour l'instant, par contre il y a une màj de sécurité pour Catalina.
avatar Robin.C | 

@iNicolas1721

De mon côté j’ai une maj pour Catalina donc ça devrait être aussi le cas pour Mojave

MAJ: Oups trop lent 😁

avatar r e m y | 

Avec la sortie imminente de Monterey, je pense que Mojave ne recevra plus de mise à jour de sécurité.

avatar oboulot | 

@r e m y

Bah j’espère pas perso !

Je suis OBLIGÉ de laisser mon MacBook Pro 2014 sur Mojave par rapport a mes logiciels et hardware de production musicale.

Ps : bravo apple d’avoir supprimé le support 32 bits et d’avoir virer les Audio Units. ( c’était un gros atout pour prendre un mac en tant que musicien / producteur )

avatar r e m y | 

C'est pourtant la règle edictee par Apple: supporter la version en cours de l'OS (Monterey dans quelques jours) et les 2 versions précédentes uniquement pour les mises à jour de sécurité (donc Big Dur et Catalina) ☹️

avatar oboulot | 

@r e m y

Aïe aïe aïe :-/

Bon bah ça deviendra une machine 100% hors ligne alors ! 😔

avatar haydriss91 | 

Donc si on ne reçoit pas de pdf ou de gif d’un numéro inconnu, très peux de chance d’avoir été infecté via cette faille, c’est ça?

avatar raoolito | 

@haydriss91

en résumé, si pegasus a ete utilisé contre vous, c'est que des gens TRES HAUT PLACES s'interressent à vous (de souvenir un nom et/ou un numero pour NSO Group, c'est un million de dollar). donc j'ose esperer pour vous que vous savez ou vous mettez les pieds.

avatar TiTwo102 | 

« Le labo canadien a signalé la faille à Apple le 7 septembre »

2021 ?
Il me semblait que cette faille avait été signalée et discutée dans la presse (dont ici) bien avant cette date, non ?

avatar quentinf33 | 

@TiTwo102

J’avoue que c’est contradictoire avec le paragraphe précédent… dans tous les cas oui j’imagine bien que c’est en 2021 ^^

avatar karl59 | 

C’est bon elle est disponible sur mon Mac M1

avatar darifi256 | 

Du coup est-ce qu’ils ont mis la fonction pour faire en sorte de ne pas être obligé d’installer iOS 15

avatar romainB84 | 

@darifi256

J’attends ça aussi avec impatience

avatar r e m y | 

en mars ils savaient analyser le fonctionnement de la faille pour determiner que l'iphone du Saoudien avait été infesté en l'utilisant, mais ils n'auraient prévenu Apple que le 7 septembre, soit 6 mois plus tard???

Soit il s'agit de septembre 2020, soit le 7 septembre 2021 était la date à laquelle le labo canadien pouvait rendre la faille publique, 6 mois après en avoir informé Apple.

avatar quentinf33 | 

@r e m y

Hmmmm ah oui peut-être. Je crois que c’est 90 jours même.

avatar IceWizard | 

@r e m y

« en mars ils savaient analyser le fonctionnement de la faille pour determiner que l'iphone du Saoudien avait été infesté en l'utilisant, »

L’iPhone du journaliste Saoudien n’a jamais été retrouvé ! Ce qu’on sait c’est que son numéro de téléphone était inscrit sur une liste de cibles de Pegasus, pas qu’il a été contaminé. Le bug utilisé à l’époque ne permettait pas l’installation automatique, il fallait cliquer sur un lien pour le faire.

Tous les membres de sa famille ont remis leurs smarphones aux enquêteurs. Après analyse, il s’est avéré que deux de ces iPhones étaient contaminés par Pegasus.

EDIT : Oups, je raconte n'importe quoi ! A la première lecture j'ai pensé que tu parlais du journaliste tué à l'ambassade saoudienne de Washington, et non d'une affaire récente. Mea Culpa !

avatar iNicolas1721 | 

Je vais regarder et ça… Pour le moment il moyen à rien alors peut être que ça arrivera plus tard…

avatar Lestat1886 | 

Les articles sont sortis dans la presse pendant l’été mais citizen lab n’a communiqué la faille à Apple que le 7 septembre ?!

avatar otisphone | 

Pas dispo ici non plus 🤷

avatar IRONMAN65 | 

Entre iOS 14.8 et MacOS 11.6 3 heures pour installer 🙄

avatar IceWizard | 

@IRONMAN65

« Entre iOS 14.8 et MacOS 11.6 3 heures pour installer 🙄 »

Une dizaine de minutes chez moi, avec la fibre !

avatar 0MiguelAnge0 | 

Ce qui assez ironique est qu’ils passent oar des app natives qui ne s’embêtent d’être executé dans le bac à sable…

avatar Chrislam | 

iPadOS est concerné aussi par la MAJ 😉

avatar Yil2201 | 

Pas de MAJ pour nous appareils de test qui sont sur iOS 15. Du coup j’imagine que ça sera présent aussi dans la RC d’iOS 15 qui sortira ce soir !

avatar r e m y | 

Toujours pas de macOS 11.6 chez moi (même en cherchant Big Sur sur le Mac AppStore, c'est la version 11.5.2 qui est proposée)... par contre il veut absolument me faire installer Safari 14.1.2 que j'utilise deja depuis juillet 🥴

avatar anonx | 

Ils ont déjà vos données le sous peuple 😆

Là on parle de types prêt à dépenser des centaines de milliers de dollars pour une licence Pegasus… Vous valez certainement pas tout ça sans offense 😅

avatar MGA | 

@anonx

Je pense qu’on ne parle pas des mêmes données dans cet article 🙄
Et puis nombre d’entre vous utilisent leur téléphone pour le travail. L’espionnage industriel fait des ravages même dans des entreprises de taille moyenne et télétravail n’a pas dû arranger les choses… même si vous balancez vos données volontairement à n’importe qui, il y a bien des données qu’il faut protéger et sécuriser.

avatar Mektoub | 

14.8 Toujours pas dispo sur mon iphone8plus en iOS 14.7 …

avatar Florian Innocente | 
Supprime le profil des bêtas d'iOS 14 si tu as pour habitude de les récupérer.
avatar Mektoub | 

@innocente

Bien vu ! Merci

avatar IRONMAN65 | 

La traduction dans safari ne marche plus BORDAYYL 😡🤬

CONNEXION UTILISATEUR