Des chercheurs en sécurité de Google ont découvert des indices, selon lesquels quelques sites web malveillants ont piraté des iPhone durant plus de deux ans. Ces sites y exploitèrent des failles pour y installer du malware et collecter des contacts, images et données de localisation des appareils.

Selon le blog utilisé par les chercheurs Google de Project Zero, les sites en question étaient visités de milliers de fois par semaine. "Pour les serveurs mal intentionnés, il suffisait d'une visite sur le site piraté pour lancer une attaque. En cas de réussite, ils installaient un implant de monitoring", explique Ian Beer, l'un des experts Project Zero sur le blog.

Ces sites web auraient agressé chaque iPhone qui se présentait, pendant au moins deux ans. Dans ce but, ils recouraient à douze failles sécuritaires différentes pour tenter de pénétrer par intrusion dans les appareils. La plupart d'entre elles consistaient en des bugs dans Safari, le navigateur par défaut d'Apple. En lançant ce genre d'attaque, les agresseurs pouvaient accéder au dossier racine de l'appareil, afin de gérer en arrière-plan les allées et venues des iPhone, sans que les utilisateurs n'éprouvent des problèmes.

Selon les chercheurs, l'implant pouvait alors se mettre à collecter des données, parmi lesquelles des photos, infos GPS et mots de passe. Toutes ces données étaient ensuite transférées toutes les soixante secondes vers un serveur extérieur. Des donnés pouvaient également être supprimées des différentes applis tournant sur l'appareil, telles Instagram, WhatsApp, Telegram ou Gmail. Les failles concerneraient quasiment chaque version: d'iOS 10 à l'actuel iOS 12.

L'équipe Google en avait informé Apple en février dernier, laquelle sortit un correctif six jours plus tard. Apple s'abstient de tout commentaire à propos de cette nouvelle.