Deux vulnérabilités ont été découvertes dans la dernière version d’iOS, le système d’exploitation des iPhone d’Apple.
Ce sont deux failles de sécurité majeures dites “zero day” (car inconnues à ce jour) et pour l’une d’entre elles “zero click” (car elle ne nécessitait pour être exploitée aucune action particulière de la part du propriétaire de l’iPhone visé).
Selon ZecOps, une start-up américaine basée à San Francisco, ces failles de sécurité auraient été utilisées (depuis deux ans) dans le cadre de tentatives d’espionnage.
“Nous avons identifié six victimes, parmi lesquelles figurent un groupe télécoms japonais, une grande société nord-américaine, des entreprises du secteur des technologies basées en Israël ainsi qu’en Arabie saoudite. Un individu allemand et un journaliste européen ont également été pris pour cibles”, a expliqué au Wall Street Journal, Zuk Avraham, directeur général de ZecOps.
Ces pratiques suggèrent que ces failles de sécurité auraient pu être exploitées par un groupe lié à un Etat, note ZecOps, cité par le site américain Vice.com.
L’un des défauts observés a été l’envoi d’un piégés e-mail.
La vulnérabilité a été activé automatiquement sans que le destinataire avoir à ouvrir l’e-mail reçu, ZecOps dit.
L’analyse a posteriori des téléphones semble montrer qu’une fois la faille exploitée le courriel envoyé était automatiquement effacé.
Ces deux failles critiques ont été corrigées par Apple dans la version bêta d’iOS, et le seront intégralement sur iOS 13.4.5 la prochaine mise à jour du système d’exploitation d’Apple.