Mettez à jour votre iPhone maintenant pour corriger une faille Pegasus critique

Mettez à jour votre iPhone maintenant pour corriger une faille Pegasus critique. Une faille zero-click, zero-day, qui plus est.

Apple a publié une mise à jour de sécurité critique pour iOS 16 pour les iPhone et iPad. Celle-ci corrige un bug particulièrement malveillant qui pourait permettre à un hacker de prendre le contrôle de votre appareil sans la moindre action de votre part. Une fois « zero-click zero-day » qui offre à l’attaquant la possibilité d’installer le spyware Pegasus de NSO Group, ce qui peut lui permettre de lire les mesasges, les appels, de voler et transmettre des images, accéder à la localisation et bien plus encore.

Mettez à jour votre iPhone maintenant pour corriger une faille Pegasus critique

Cette faille, répondant à la référence Blastpass, a été découverte par Citizen Lab, qui l’a immédiatement transmise à Apple. Elle aurait été utilisée pour installer Pegasus sur l’iPhone d’un employé d’une organisation basée à Washington DC. Elle est capable de compromettre des appareils fonctionnant sous iOS 16.6 « sans la moindre interaction de la victime », précise le groupe.

Apple a publié iOS 16.6.1 pour corriger cette vulnérabilité, déclarant simplement qu’une « pièce jointe malveillante pourrait déclencher l’exécution de code ». De plus, Citizen Lab a même conseillé que « tous les utilisateurs à risque devraient envisager d’activer le Mode Isolement, celui-ci bloquant normalement l’attaque. » L’attaque semble utiliser PassKit, un SDK permettant aux développeurs d’intégrer Apple Pay dans leurs apps, d’où le nom de Blastpass, avec les images malveillantes envoyées par iMessage.

Une faille zero-click, zero-day, qui plus est

Le Mode Isolement est une fonctionnalité récente d’iOS conçue pour restreindre sévèrement les fonctions des appareils Android. Elle vise « un très petit nombre d’utilisateurs qui font face à des menaces graves et ciblées envers leur sécurité numérique », expliquait Apple. La firme de Cupertino a fait face à de nombreuses menaces ces derniers temps, avec une faille en février qui « pourrait avoir été activement exploitée ».

Cette faille replace aussi Pegasus sur le devant de la scène, après un bannissement de l’administration Biden il y a quelques mois. Développé par la société israélienne NSO Group, elle avait fait scandale après que l’on a appris que le logiciel a été utilisé par plusieurs pays pour espionner journalistes, activistes et autres…