Trois failles zero-day seraient toujours présentes sous iOS 15
Apple offre généralement des récompenses conséquentes pour ce genre de découverte.
Un chercheur en cybersécurité se faisant appeler illusionofchaos assure avoir signalé plusieurs risques majeurs pour l’intégrité des iPhone à leur fabricant mais sans que celui-ci ne prenne les mesures nécessaires pour y remédier. D’habitude, ce type de service se voit pourtant grassement rémunéré, avec des primes pouvant atteindre un million de dollars (soit plus de 850 000 euros environ).
L’objectif, bien sûr, est d’aider Apple à mieux protéger ses différents systèmes d’exploitation. D’autres logiciels comme tvOS, iPadOS ou macOS sont d’ailleurs eux aussi concernés par ce programme ou bug bounty. Mais en 2020, Cupertino aurait reversé près de deux fois moins de récompenses que Google, Microsoft faisant encore mieux avec un montant près de quatre fois plus élevé.
Les iPhone 13 concernés ?
Déjà victime de plusieurs bugs plutôt gênants, iOS 15 comporterait ainsi pas moins de trois failles de sécurité majeures pouvant potentiellement porter atteinte aux données personnelles des utilisateurs. Révélées à Apple dans le cadre de son bug bounty, celles-ci n’auraient donc pas été corrigées. Une quatrième, en revanche, sera dotée d’un patch en juillet dernier avec la mise à jour vers iOS 14.7.
L’un des dangers toujours en cours touche directement le Game Center, qui permet de comparer ses scores au sein de différents jeux avec ses amis. Plusieurs informations clés sont alors à même de fuiter, telles que :
- l’identifiant Apple : adresse e-mail, prénom et nom
- des contacts enregistrés dans Mail ou Messages
- certaines photos
Pour le moment, Apple n’a pas officiellement réagi. Comme souvent, il est toutefois possible que ses ingénieurs travaillent d’arrache-pied à une solution qui sera par la suite déployée en toute discrétion. C’est en tout cas la réaction qui avait permis de contrer Pegasus après que ce logiciel espion (spyware) ait infecté certains iPhone au plus haut niveau.
Click through to see the Game Center exploit in particular. It’s rough.
Things like this should almost never slip through the cracks with a functioning security program.
Instead, with Apple, it’s commonplace.
That’s so deeply broken, yet nothing changes.
What will it take?
— Marco Arment (@marcoarment) September 24, 2021
Gare aux pirates
Malheureusement, il n’existe pour le moment pas d’alternative accessible sans véritables compétences techniques pour éviter de se retrouver victime de ces failles. Qui plus est, celles-ci ont en réalité été dévoilées publiquement afin de protester contre l’inactivité d’Apple suite à leur découverte. Des hackers malintentionnés pourraient donc -supposément- y faire appel.
Ce n’est pas la première fois que le bug bounty de la marque californienne pose problème. Cet été déjà, d’autres participants estimaient ainsi avoir été abusés par la société, allant jusqu’à parler de “vol“.
