Clicky

Une faille critique a été découverte sur iOS et OS X !

iOS et OS X sont assez bien sécurisés mais le risque zéro n’existe pas et c’est précisément ce que prouve cette histoire. Tylan Bohan, un chercheur en sécurité travaillant pour Talos, a en effet découvert une nouvelle faille touchant la plateforme mobile de la marque, une faille permettant à une personne mal intentionnée de dérober le mot de passe d’un iPhone à partir d’un MMS ou d’un iMessage.

Comment ? En mettant au point un programme malicieux, en l’intégrant à une image au format TIFF et en l’envoyant ensuite par le biais d’un simple message multimédia.

Faille iOS et OS X

iOS et OS X doivent faire face à une nouvelle faille de sécurité… très méchante.

Lorsque la personne recevra le message sur son téléphone, le code s’exécutera automatiquement à l’insu de l’utilisateur.

Une faille qui touche l’iPhone et les Mac

Et ensuite ? Il lui suffira d’exploiter une faille de sécurité située dans l’API gérant les données des images (ImageIO) pour accéder au contenu du terminal et pour mettre la main sur les données les plus sensibles. Comme le mot de passe de l’utilisateur.

Pas terrible, donc, mais ce n’est pas fini car les Mac peuvent aussi être touchés.

En menant plus loin son investigation, le chercheur en sécurité a en effet découvert que cette faille touchait aussi Safari. Le pire reste à venir car dans ce cas, il suffit que le pirate intègre son script à une page web pour infecter l’ordinateur de sa cible.

Tylan Bohan n’a pas mâché ses mots. A ses yeux, cette faille est comparable à Stagefright et elle est extrêmement dangereuse car elle offre un accès direct à toutes les informations sensibles de l’utilisateur. Des informations comme le mot de passe de sa session, par exemple, ou encore ses accès WiFi et les identifiants de tous les sites et services utilisés par ses soins.

Le correctif est disponible, il va falloir mettre vos machines à jour

Toutefois, les iPhone sont moins exposés car iOS intègre un système de bac à sable afin de cloisonner toutes les infos en lien avec les différents processus en cours d’exécution sur le terminal.

OS X ne propose pas une telle protection en revanche.

Il y a tout de même une bonne nouvelle dans l’histoire. Apple a corrigé la faille dans les dernières versions de iOS et de OS X. Il suffit donc d’installer iOS 9.3.3, Mavericks 10.9.5, Yosemite 10.10.5 ou El Capitan 10.11.6 pour la corriger et supprimer du même coup cette vulnérabilité.

Inutile de le préciser mais il sera préférable de le faire dès que possible pour éviter de mauvaises surprises.

Share this post

Fred

Floodeur compulsif, est très actif sur Twitter ou encore sur Facebook. Sachez en outre que la Fredzone a une page sur Google+.

  • Jeepee

    J’ai reçu hier par imessage une photo d’un numéro inconnu. Ca m’a paru très bizarre. Je viens donc de faire le rapprochement avec votre info sur la faille.
    Je possède un iphone 6. Est-ce que vous pensez que je dois changer mes mots de passe ?

    • Si tu as un doute, c’est préférable. Tu peux aussi passer par un gestionnaire de mots de passe pour aller plus vite d’ailleurs.

      • Jeepee

        merci ! Il ne s’est rien passé depuis, mais on ne sait jamais. Est-ce que tu as une préférence parmi les gestionnaires de mots de passe ?

        • J’avais commencé avec LastPass mais j’ai vite laissé tomber. L’interface me plaisait pas trop. Ensuite, j’ai pensé à acheter 1Password sur Mac mais j’ai préféré commencé par tester la version gratuite de Dashlane.

          Elle m’a plu et du coup j’ai pris un compte premium pour pouvoir synchroniser mes mots de passe dans le cloud, avec tous mes terminaux. Ca tourne vraiment bien et j’avais juste eu un petit bug avec le Surface Book qui m’avait été prêté par Microsoft mais il a suffit de virer l’extension et de la réinstaller pour corriger le tir.

          • Jeepee

            Merci pour ton retour ! Avant de voir ta réponse, j’ai également installé Dashlane ;)