7 failles de sécurité, piratages et failles Apple que vous ne connaissiez pas
Les incidents de sécurité chez Apple : piratages, violations et vulnérabilités
Apple, malgré sa réputation de sécurité, n'est pas à l'abri des incidents de sécurité tels que les piratages, les violations de données et les vulnérabilités logicielles. Ces problèmes, parfois méconnus, peuvent présenter des risques pour les utilisateurs. Explorons ensemble les piratages, les violations et les failles de sécurité qui ont marqué l'histoire d'Apple.
Les piratages et violations chez Apple
Au fil des années, Apple a été la cible de plusieurs piratages, certains plus graves que d'autres. Revenons sur quelques incidents marquants, en commençant par un piratage datant d'une dizaine d'années.
Le piratage XcodeGhost (2015)
En 2015, une attaque informatique a touché 128 millions d'utilisateurs d'iPhone. Les pirates ont utilisé une version corrompue de XCode, l'environnement de développement d'Apple pour tous ses systèmes d'exploitation, y compris iOS. Ce logiciel malveillant, connu sous le nom de XCodeGhost, a permis de compromettre une cinquantaine d'applications disponibles sur l'App Store d'Apple. Les personnes ayant téléchargé ces applications ont été exposées à un risque de piratage, et l'on estimait à l'époque qu'environ 500 millions d'utilisateurs étaient potentiellement concernés.
Bien que l'estimation initiale ait été revue à la baisse, des documents révélés lors de la bataille judiciaire entre Apple et Epic Games ont confirmé que 128 millions de personnes étaient concernées, dont 18 millions d'utilisateurs aux États-Unis (selon Security Affairs). Ce qui est particulièrement controversé dans cet incident est qu'Apple avait choisi de ne pas informer directement les utilisateurs exposés à ce piratage. Ce n'est que six ans plus tard, lors du procès contre Epic Games, que le public a pris connaissance de la véritable nature de l'attaque.
Le logiciel espion Pegasus (depuis 2016)
Le logiciel espion Pegasus, initialement lancé en 2016, a connu une notoriété mondiale en 2021 lorsqu'il a été employé pour exploiter des failles d'iOS lors d'attaques ciblées. Développé par le groupe israélien NSO, une organisation controversée souvent au cœur de préoccupations sécuritaires, Pegasus est devenu un outil de cybercriminalité pour des pirates gouvernementaux. Le groupe NSO a vendu Pegasus à divers gouvernements, y compris l'Inde et le Mexique.
Dans cette exploitation de failles Apple, une vulnérabilité iOS a permis l'installation du logiciel espion Pegasus sur les iPhones. Une déclaration officielle d'Apple a souligné que des outils tels que le mode Isolement peuvent être utilisés pour se prémunir contre de telles attaques, tout comme l'utilisation de mots de passe forts et de mises à jour logicielles régulières. Apple a également annoncé l'envoi de notifications de menace aux utilisateurs susceptibles d'être ciblés par des attaques d'origine étatique.
Si vous êtes préoccupé par le logiciel espion Pegasus, vous pouvez consulter notre guide pour vérifier si votre iPhone est infecté.
L'attaque SolarWinds (2021)
L'attaque SolarWinds a secoué les secteurs de la technologie et de la cybersécurité en 2021, et Apple n'a pas été épargnée.
Lors de cette attaque, des pirates ont exploité une vulnérabilité Zero Day du code d'iOS 14 pour infiltrer des iPhones. Ils ont utilisé des domaines malveillants pour rediriger les utilisateurs vers des sites de phishing. Cela a permis de voler les identifiants de connexion des utilisateurs, qui pouvaient ensuite être utilisés pour pirater des comptes ou être revendus sur des marchés illicites.
La violation des métadonnées d'Apple et Meta (2021)
Le dernier incident de sécurité d'Apple remonte à mi-2021. Des employés d'Apple et de Meta ont été trompés par des pirates se faisant passer pour des responsables de l'application de la loi. En piratant des comptes et des réseaux des forces de l'ordre, les pirates ont envoyé de fausses demandes de données urgentes aux employés des deux géants de la technologie, en leur demandant de réagir rapidement. En réponse à ces demandes faussement officielles, des adresses IP, des adresses personnelles et des numéros de contact d'utilisateurs ont été communiqués.
Il est important de souligner que le personnel d'Apple et de Meta n'a pas agi en réponse à une demande aléatoire. Les systèmes légitimes de la police ayant été piratés, la détection de la supercherie s'est avérée difficile.
Les vulnérabilités d'Apple
Les différents logiciels d'Apple, notamment ses systèmes d'exploitation, peuvent être touchés par des vulnérabilités de code. Voici quelques points importants à connaître.
Vulnérabilités du noyau et WebKit (2022)
En août 2022, Apple a révélé avoir découvert une vulnérabilité du noyau (officiellement connue sous le nom de CVE-2022-32894) qui permettait l'exécution de code arbitraire avec les privilèges du noyau. Apple a corrigé cette faille avec macOS Monterey. Si vous avez installé manuellement cette mise à jour ou si vous utilisez une version de macOS plus récente, vous êtes en principe protégé.
Parallèlement, une faille Apple WebKit a également été découverte. Cette dernière pouvait également permettre l'exécution de code arbitraire par le biais de contenu web malveillant. Tout comme la vulnérabilité du noyau, la faille WebKit pour macOS Monterey a été corrigée depuis longtemps.
Vulnérabilités Blastpass (2023)
En septembre 2023, deux vulnérabilités Zero Day ont été découvertes dans le logiciel iOS d'Apple et ont été exploitées par des attaquants. Ces vulnérabilités sont officiellement désignées comme CVE-2023-41064 et CVE-2023-41061.
La faille CVE-2023-41064 était une vulnérabilité de dépassement de tampon permettant l'exécution de code arbitraire et pouvait affecter tous les iPhones à partir du modèle 8, sous iOS version 16.6 ou plus récente. Certains modèles d'iPad pouvaient également être ciblés. La faille CVE-2023-41061, découverte peu après, était un problème de validation exploitable via des pièces jointes malveillantes.
Utilisées conjointement, ces deux vulnérabilités formaient une chaîne d'exploitation connue sous le nom de Blastpass, intégrée à la chaîne de diffusion du logiciel espion Pegasus du groupe NSO, comme l'a rapporté The Citizen Lab. Blastpass permettait de pirater des iPhones et des iPads sans aucune interaction de la part de la victime. Ces vulnérabilités sont également désignées comme des failles "zéro clic".
Cependant, l'activation du mode Isolement d'Apple peut interrompre cette chaîne et empêcher l'infection de votre appareil. Un correctif est également disponible pour ces deux vulnérabilités.
Vulnérabilités de la Fondation (2023)
Début 2023, trois vulnérabilités Zero Day ont été découvertes chez Apple, mettant en danger plusieurs de ses systèmes d'exploitation, dont iOS, iPadOS et macOS. Deux de ces failles ont été identifiées dans le composant "Fondation" d'Apple, qui fournit le niveau de base de fonctionnalités et d'interopérabilité pour les applications Apple. Ces trois vulnérabilités, nommées CVE-2023-23530, CVE-2023-23531 et CVE-2023-23520, offraient aux attaquants la possibilité d'exécuter du code malveillant à distance sur les appareils compromis.
Apple a corrigé ces trois failles de sécurité en février 2023. Si vous mettez régulièrement à jour votre appareil Apple, vous ne devriez plus y être exposé.
Apple n'est pas à l'abri des piratages et des vulnérabilités
Bien que les logiciels et le matériel d'Apple soient réputés sécurisés, les utilisateurs ne sont jamais totalement à l'abri des cyberattaques. Que vous utilisiez un téléphone, une tablette, un ordinateur ou une montre Apple, il est essentiel de ne jamais supposer que vous êtes imperméable aux problèmes de sécurité. Il est toujours conseillé de se tenir informé des dernières vulnérabilités, piratages et violations concernant Apple, afin de mieux vous protéger et vous préparer à de futurs incidents.