Apple corrige deux nouvelles vulnérabilités

Apple corrige 2 vulnérabilités de type « 0-day » exploitées par le spyware Pegasus

Le jeudi 7 septembre 2023, Apple a publié des bulletins de sécurité d’urgence pour corriger 2 nouvelles vulnérabilités de type 0-day exploitées dans des attaques sophistiquées visant des utilisateurs des produits d’Apple. Référencées CVE-2023-41064 et CVE-2023-41061, ces 2 vulnérabilités ont été activement exploitées par la société israélienne NSO Group dans le cadre de leurs prestations commerciales de surveillance électronique. Les opérateurs ont eu recours à une chaîne d’exploitation sans clic dans iMessage (référencée BLASTPASS par CitizenLab) permettant de déployer le spyware Pegasus via l’exécution de code arbitraire.

Pegasus est un spyware commercialisé depuis 2013 qui peut être utilisé pour géolocaliser une cible, enregistrer ses appels et ses messages, accéder à la caméra de son appareil mobile et à son microphone. Pour rappel, ce spyware aurait notamment été utilisé pour cibler des dirigeants politiques, journalistes et activistes européens. Suite à ces découvertes, dès février 2022, le Contrôleur européen de la protection des données (CEPD) avait appelé à une interdiction de la commercialisation des logiciels de surveillance dans l’Union européenne.

La tendance au Bring Your Own Device, estompant la frontière entre les usages professionnels et privés des appareils mobiles, a augmenté la surface d’attaques des spywares. En février 2023, le Pentagone américain publiait le rapport n° DODIG-2023-041 sur les risques liés aux téléchargements d’applications mobiles malveillantes sur des appareils professionnels. Enfin, les appareils mobiles sont presque toujours un facteur supplémentaire d’authentification (MFA) pour accéder aux ressources stratégiques d’une entreprise, augmentant dès lors l’intérêt des acteurs de la menace.

Depuis le début de l’année, Apple a corrigé 13 0-day exploités dans des attaques contre des appareils fonctionnant sous iOS, macOS, iPadOS et watchOS. Le rapport « 2023 Global Mobile Threat Report » de Zimperium a fait état d’une augmentation de 466 % des attaques de type 0-day contre les appareils mobiles.

Versions vulnérables

• iPhone 8 et supérieur
• iPad Pro (toute verison)
• iPad Air 3ème génération et supérieures
• iPad 5ème génération et supérieures
• iPad mini 5ème génération et supérieures
• macOS Ventura
• Apple Watch Series 4 et supérieures

Version non-vulnérables

• macOS Ventura 13.5.2
• iOS 16.6.1
• iPadOS 16.6.1
• watchOS 9.6.2

Références

• https://support.apple.com/en-us/HT213905
• https://www.bleepingcomputer.com/news/apple/apple-discloses-2-new-zero-days-exploited-to-attack-iphones-macs/
• https://www.hackread.com/blastpass-pegasus-spyware-exploit-iphones-ios/
• https://citizenlab.ca/2023/09/blastpass-nso-group-iphone-zero-click-zero-day-exploit-captured-in-the-wild/
• https://go.zimperium.com/mobile-spyware-defense-requirements-for-government-agencies/
• https://www.dodig.mil/reports.html/Article/3294159/management-advisory-the-dods-use-of-mobile-applications-report-no-dodig-2023-041/
• https://support.apple.com/en-us/HT213906
• https://support.apple.com/en-us/HT213907