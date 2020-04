Des chercheurs en sécurité ont découvert une paire de vulnérabilités zero-day dans l’application Mail pour iPhone et iPad qu’ils ont découvertes dans la nature et utilisées par des attaquants.



Les chercheurs ont trouvé deux vulnérabilités zero-day dans Mail qui étaient activement utilisées pour attaquer les utilisateurs. Crédits: ZecOps

L’entreprise de cybersécurité basée à San Francisco, ZecOps, a déclaré avoir rencontré les deux failles de l’application de messagerie iOS et iPadOS par défaut lors de l’exécution de la criminalistique numérique de routine sur les appareils des clients. Après une enquête plus approfondie, ils ont trouvé des preuves d’attaques ciblées, qu’ils ont décrites dans un rapport publié mercredi.

Les vulnérabilités permettent à un attaquant d’exécuter du code à distance en exploitant les processus MobileMail et Mailid d’Apple dans iOS 12 et iOS 13, respectivement, grâce à l’utilisation d’un courrier électronique spécialement conçu. Et, s’il était déclenché correctement, un utilisateur ne saurait pas qu’il était piraté.

Les variantes de la faille remontent au moins à iOS 6, ont déclaré les chercheurs. Étant donné que les vulnérabilités ont été utilisées pour attaquer les utilisateurs avant qu’Apple puisse publier un correctif, elles sont considérées comme des attaques zero-day, ce qui est important car les zero-days iOS sont extrêmement rares et souvent assez chers.

En eux-mêmes, les failles ne posent pas trop de risques pour les utilisateurs – elles permettent uniquement à un attaquant de divulguer, de modifier ou de supprimer des e-mails. Mais combinées à une autre attaque du noyau, telle que l’exploit Checkm8 non corrigible, les vulnérabilités pourraient permettre à un mauvais acteur d’accéder à la racine d’un appareil spécifiquement ciblé.

Au moins l’un des défauts peut être déclenché à distance sans aucune intervention de l’utilisateur – une attaque connue sous le nom de «zéro clic». ZecOps a ajouté que la deuxième vulnérabilité a probablement été découverte par accident lors de la tentative de tirer parti du zéro-clic. La vulnérabilité affectant iOS 13 est le zéro-clic. Bien que la faille iOS 12 oblige les utilisateurs à réellement taper sur un e-mail, cette exigence ne s’applique pas aux attaquants qui envoient des messages à partir d’un serveur de messagerie qu’ils contrôlent.



Un exemple d’une attaque ratée. Les réussites ne montreraient pas de message d’erreur. Crédits: ZecOps

Dans son rapport, ZecOps a constaté qu’un certain nombre de ses clients étaient visés, notamment des employés d’une entreprise Fortune 500 en Amérique du Nord, un journaliste en Europe et un VIP en Allemagne. Fait intéressant, bien qu’il y ait des preuves que les failles ont été exécutées sur des appareils ciblés, les e-mails eux-mêmes n’étaient pas présents. Cela suggère que les attaquants ont supprimé les e-mails pour couvrir leurs traces.

Les chercheurs pensent que les attaquants travaillaient pour un État-nation qui avait acheté les attaques à un tiers, ajoutant qu’au moins une organisation de “hacker-for-rent” vendait des exploits qui utilisent le courrier électronique comme vecteur principal.

D’un autre côté, les chercheurs en sécurité qui ont parlé à Motherboard ont déclaré que la faille était relativement impolie par rapport aux autres hacks, ce qui signifie que les attaquants sophistiqués jugeraient probablement trop risqué de l’utiliser contre des “cibles de grande valeur”.

Pourtant, ZecOps note que les attaques utilisant les exploits sont susceptibles d’augmenter en fréquence car elles sont maintenant rendues publiques. Les chercheurs ont déclaré que les mauvais acteurs “attaqueront autant d’appareils que possible”, ce qui signifie que les utilisateurs normaux pourraient finir par être ciblés. Cela devient plus dangereux si les exploits étaient exploités par des cybercriminels ayant accès à des vulnérabilités supplémentaires.

Les vulnérabilités n’affectent que l’application de messagerie native et non les applications tierces. Pour atténuer les attaques, ZecOps recommande aux utilisateurs de cesser d’utiliser Mail sur iOS et iPadOS jusqu’à ce qu’un correctif soit émis. MacOS n’est pas affecté.

ZecOps a déclaré avoir alerté Apple des vulnérabilités en février. Les deux défauts ont depuis été corrigés dans les dernières versions bêta d’iOS 13, et un correctif devrait arriver dans la prochaine mise à jour iOS accessible au public dans iOS et iPadOS 13.4.5