Un demi-milliard d’iPhone et d’iPad vulnérables des années durant à des vols de données

Une firme de sécurité a découvert une faille dans l’appli Mail sur les iPhone et iPad. Elle s’est ainsi rendue compte qu’il était possible depuis 2018 au moins de pirater ces appareils à distance et d’y voler des données.

Le problème a été découvert par la firme de sécurité américaine ZecOps qui effectue de la recherche scientifique sur la sécurité mobile. Suite à une attaque lancée contre un client, l’entreprise en a recherché l’origine et a ainsi décelé une brèche dans l’appli Mail d’iOS (aussi appelée MobileMail et Maild).

Ce qui rend cette faille particulièrement dangereuse, c’est quelle ne nécessite que très peu d’interaction. La victime reçoit un mail spécialement conçu pour faire se planter son application mail et la faire redémarrer. Suite à ce plantage, il est possible de dérober des données telles des photos, des contacts, voire le contenu de la boîte mail.

On estime qu’un demi-milliard d’iPhone et d’Pad, quasiment l’ensemble des appareils, est vulnérable. Le problème se manifeste depuis iOS 6, qui est sorti en 2012 déjà à l’époque de l’iPhone 5, et est activement abusé depuis janvier 2018. Il est possible que le bug ait été exploité depuis plus longtemps que cela encore par des pirates, mais la firme de sécurité ne peut l’avancer avec certitude.

A l’agence Reuters, Apple confirme l’existence de la faille, sans faire d’autres commentaires. Elle entend résoudre le problème dans iOS 13.4.5.

ZecOps a connaissance d’au moins six attaques très ciblées contre des entreprises ou des personnes spécifiques. Il s’agit en l’occurrence de collaborateurs d’une firme figurant dans le Fortune 500 en Amérique du Nord, d’un journaliste européen, d’un top-manager d’une entreprise télécom japonaise, d’un VIP allemand, de fournisseurs de ‘managed security services’ d’Arabie Saoudite et d’Israël et, probablement, d’un directeur d’une firme suisse.

On ne sait pas qui est à l’origine de ces attaques et s’il s’agit à chaque fois de la même organisation. ZecOps connaît au moins une organisation qui propose ce genre de failles.