Le fournisseur de portefeuille de crypto-monnaie Trust Wallet a récemment publié un avertissement exhortant les utilisateurs d’Apple à désactiver iMessage.
Cela survient après avoir reçu des « informations crédibles » concernant un problème de sécurité à haut risque affectant iMessage sur les iPhones.
Le problème signalé est un exploit zero-day, un terme sophistiqué désignant une vulnérabilité logicielle que les attaquants peuvent exploiter à l’insu du développeur du logiciel. Cela signifie qu’il n’existe actuellement aucun correctif disponible pour résoudre le problème, ce qui rend les iPhones avec iMessage activé potentiellement sensibles.
Trust Wallet met en garde contre l’exploit iMessage
Trust Wallet souligne que cet exploit zero-day pourrait potentiellement permettre aux pirates de prendre le contrôle des iPhones. Les portefeuilles cryptographiques stockant souvent les actifs numériques précieux des utilisateurs, un téléphone compromis pourrait conduire au vol de cryptomonnaies.
L’avertissement mentionne spécifiquement que les titulaires de comptes de grande valeur courent un plus grand risque. Cela est logique, car les pirates sont plus susceptibles de cibler les personnes possédant d’importants avoirs cryptographiques.
Comment fonctionne l’exploit zéro clic d’iMessage ?
En raison de problèmes de sécurité, le fonctionnement exact de l’exploit zéro clic d’iMessage reste confidentiel. Cela empêche les attaquants d’en connaître les détails et de les exploiter plus facilement. Cependant, nous pouvons discuter des concepts généraux derrière les exploits Zero Day.
Imaginez un programme comme iMessage comme une machine complexe comportant de nombreuses pièces. Un exploit Zero Day revient à trouver un petit interrupteur caché sur cette machine. L’activation de ce commutateur peut provoquer un comportement inattendu, donnant potentiellement accès à un accès non autorisé.
Voici une description simplifiée du fonctionnement d’un hypothétique exploit zero-day :
- Le défaut: Il y a une faiblesse cachée dans le code du programme, comme un commutateur défectueux (l’exploit). Cette faiblesse est inconnue des créateurs du programme (Apple).
- Concevoir l’attaque: Les pirates créent un message ou un fichier de données spécifique qui déclenche le commutateur caché (l’exploit). Ce message peut sembler parfaitement normal à première vue.
- Déclencher l’exploit: Lorsque l’iPhone reçoit le message malveillant, il traite les données et active sans le savoir le commutateur caché (l’exploit) dans son code.
- Obtenir l’accès: Selon la nature de l’exploit, cela pourrait accorder aux pirates un certain niveau de contrôle sur l’iPhone, leur permettant potentiellement de voler des informations ou même d’installer des logiciels malveillants.
Le danger réside dans le fait que le message soit « zéro clic ». Cela signifie la vulnérabilité permet à l’exploit de fonctionner sans aucune interaction de l’utilisateur. Contrairement aux escroqueries par phishing dans lesquelles les utilisateurs cliquent sur des liens malveillants, un exploit sans clic peut potentiellement infecter un appareil simplement en recevant un message.
Portefeuille de confiance a averti les utilisateurs de l’exploit iMessage sur X avec les mots suivants :
Étant donné que cet article a suscité de nombreux points de vue et commentaires, nous avons pensé développer davantage pour la communauté :
Comment avons-nous obtenu ces informations ?
Trust Wallet surveille en permanence plusieurs voies pour détecter toutes les menaces de sécurité pesant sur nos utilisateurs, aux côtés de partenaires de sécurité et… https://t.co/Z7vFtMENIp– Portefeuille de confiance (@TrustWallet) 15 avril 2024
La désactivation d’iMessage est-elle la seule option ?
Bien que Trust Wallet recommande de désactiver iMessage par mesure de précaution, il est important de comprendre que les détails exacts de l’exploit restent flous. Cela rend difficile l’évaluation du risque réel et de l’efficacité de la désactivation complète d’iMessage.
Les experts en sécurité ont exprimé un certain scepticisme à l’égard de cet avertissement. Certains soutiennent que les preuves présentées par Trust Wallet, comme une capture d’écran d’un exploit supposé en vente sur le dark web, pourraient ne pas être entièrement fiables.
Comment désactiver iMessage
La désactivation d’iMessage peut être une bonne mesure temporaire si vous êtes préoccupé par les récents rapports de sécurité. Voici comment procéder :
- Prenez votre iPhone et dirigez-vous vers l’application Paramètres.
- Faites défiler vers le bas jusqu’à ce que vous trouviez la section « Messages » et appuyez dessus.
- Dans le menu Messages, vous verrez un interrupteur à bascule pour « iMessage ». Faites simplement glisser le commutateur vers la gauche pour désactiver iMessage.
Faut-il paniquer ?
Il est toujours sage d’être prudent lorsque vous gérez vos avoirs en cryptomonnaies. Cependant, il est également important d’éviter une panique inutile. Voici ce que vous pouvez faire :
- Rester informé: Gardez un œil sur les chaînes officielles d’Apple et de Trust Wallet pour des mises à jour sur la situation. Si Apple publie un correctif de sécurité pour remédier à l’exploit du jour zéro, vous souhaiterez l’installer rapidement.
- Envisagez des alternatives : Bien que la désactivation d’iMessage puisse être une mesure extrême, vous pouvez envisager d’utiliser une autre application de messagerie pour les conversations sensibles jusqu’à ce que la situation devienne plus claire.
- Renforcez vos défenses : Quel que soit l’exploit spécifique, il existe des pratiques de sécurité générales qui peuvent vous aider à protéger vos avoirs cryptographiques. Celles-ci incluent l’utilisation de mots de passe forts, l’activation de l’authentification à deux facteurs et la mise à jour de votre application de portefeuille.
La situation entourant l’exploit potentiel d’iMessage souligne l’importance de rester vigilant en matière de cybersécurité, en particulier pour ceux qui s’occupent de crypto-monnaie.
Crédit image en vedette: Arthur Mazi/Unsplash
Source: Trust Wallet indique qu’un exploit iMessage pourrait vider vos portefeuilles cryptographiques