Avec la sortie d’hier d’iOS 14.4 et de tous les autres systèmes d’exploitation, Apple a inclus ses correctifs de bogues typiques. Cependant, Apple reconnaît qu’iOS 14.4 corrige trois bogues de sécurité qui, selon la société, «auraient pu être activement exploités». C’est la première fois qu’Apple reconnaît explicitement la fermeture d’une faille de sécurité qui aurait pu être exploitée lors d’une attaque malveillante.
Les bogues de Safari et du noyau ont été corrigés par iOS 14.4
Dans le document de sécurité iOS 14.4 ici, vous pouvez voir la description des trois bogues corrigés avec la mise à jour. Ils sont les suivants:
CVE-2021-1782: une application malveillante peut accéder à des privilèges élevés dans le noyau.
CVE-2021-1870 et CVE-2021-1871: un attaquant distant peut provoquer l’exécution de code d’exécution arbitraire dans Webkit.
Le noyau est une partie fondamentale du système d’exploitation qui permet au reste du logiciel d’accéder au matériel. Webkit est le moteur de navigateur développé par Apple pour Safari, qui est utilisé à la fois sur macOS et iOS. Souvent, un pirate utilise plusieurs bogues dans une chaîne pour accéder à un appareil. Dans ce cas, nous avons deux «clés» pour entrer et une «porte» pour y accéder.
On ne sait pas s’il a été utilisé contre un ou plusieurs utilisateurs ou s’il a été exploité à grande échelle. Cependant, la note de sécurité elle-même indique que «des détails supplémentaires seront bientôt disponibles».
Un chercheur anonyme pourrait être récompensé
Dans les notes de sécurité d’une nouvelle version du logiciel, Apple indique généralement la personne ou l’équipe qui l’a trouvée. Si aucune attribution directe n’apparaît, on suppose qu’elle a été fixée par leur propre équipe. Mais dans ce cas, les trois bugs sont attribués à «un chercheur anonyme».
Dans le monde de la sécurité matérielle et logicielle, il est courant de publier ces bogues publiquement, une fois que l’entreprise a été contactée et que les bogues ont été corrigés. De cette façon, vous gagnez en pertinence et en prestige parmi vos pairs, comme s’il s’agissait d’une nouvelle ligne de CV. C’est pourquoi l’anonymat de la personne ou du groupe qui a fait connaître les trois erreurs est encore plus frappant.
Il convient de rappeler que chaque mise à jour corrige des bogues, dans certains cas majeurs, qui aident à protéger la sécurité de nos appareils.
Ce n’est pas la première fois que des bogues de sécurité exploités de manière malveillante sont découverts. L’un des cas les plus notoires était Pegasus, un ensemble de trois bogues qui permettaient également d’accéder au noyau. Ils ont été utilisés par les Émirats arabes unis pour espionner un dissident politique dans le pays, réparés par Apple à l’été 2016.
Apple a lancé il y a quelque temps un programme de récompenses, dans lequel il attribue des prix en argent à ceux qui parviennent à casser la sécurité de ses appareils. Les prix vont de 100 000 USD pour contourner l’écran de verrouillage, à 1 million USD pour réussir à exécuter du code dans le noyau sans clics.
Bien sûr, le pronostiqueur anonyme pourrait bien empocher quelques centaines de milliers de dollars pour ces trois bugs. Nous verrons si nous en saurons plus à ce sujet dans les semaines à venir.
