iOS 13.4.5 va boucher une grosse faille dans Mail 🆕
iOS 13.4.5 n’arrivera jamais assez tôt. Cette version en bêta du système d’exploitation est en effet censée contenir un correctif pour deux failles de sécurité assez sérieuses. Les chercheurs en sécurité de ZecOps expliquent qu’une vulnérabilité permet à des malandrins de pirater un iPhone en envoyant un simple courriel aux victimes.
ZecOps explique que l’utilisateur n’a même pas besoin de toucher le message pour que son smartphone soit infecté sous iOS 13 (sous iOS 12, il faut que la victime touche le courriel). Il suffit que l’e-mail spécialement conçu soit téléchargé par le client mail de la victime pour que le malware puisse s’installer et faire des ravages.
Mail est vulnérable, mais pas Outlook ni Gmail, selon les chercheurs. Tous les iPhone et iPad sont concernés, depuis iOS 6. Cela fait au moins deux ans que la faille est exploitée par des brigands ; au moins six cibles ont été identifiées : un opérateur télécom japonais, une « grande entreprise américaine », des sociétés tech en Israël et en Arabie saoudite, un particulier en Allemagne et un journaliste européen.
Le problème c’est que le malware en lui-même est difficile à obtenir. ZecOps a rassemblé un faisceau de présomptions dans iOS, mais pas le logiciel malveillant en lui-même, les messages qui le colportent ayant été effacés. Apple a néanmoins pris les choses en main en barricadant iOS dans sa prochaine version. La solution à l’heure actuelle est d’éviter d’utiliser Mail. Plus facile à dire qu'à faire alors qu'iOS ne permet pas de changer de client mail par défaut.
Puisque ces failles semblent si dangereuses, pourquoi ZecOps les dévoile publiquement alors que le correctif n'est pas encore disponible pour tous ? Tout d'abord, les bandits doivent exploiter des bugs supplémentaires pour obtenir l'accès à l'iPhone. De plus, les vulnérabilités dévoilées par les chercheurs ne seront bientôt plus d'aucune utilité, Apple les ayant corrigées — certes, dans une bêta. Les forbans savent que l'opportunité d'exploiter ces failles est en train de s'évanouir et pourraient être tentés de l'utiliser à fond, d'où la nécessité de prévenir les utilisateurs. ZecOps espère qu'en mettant ces deux failles au grand jour, Apple va accélérer le développement d'iOS 13.4.5.
MàJ le 24/04/2020 07:46 : Apple a communiqué sur cette faille de sécurité. L'entreprise explique avoir mené une enquête complète et déterminé que les trois failles de sécurité découvertes dans Mail ne suffisent pas à contourner les sécurités mises en place sur les iPhone et iPad. En clair, ces failles existent bien, mais elles ne suffisent pas à obtenir un accès complet à un appareil iOS et c'est pourquoi elles peuvent attendre une future mise à jour pour être corrigées.
Par ailleurs, la firme de Cupertino indique n'avoir aucune preuve de leur utilisation. C'est un point important, puisque ces failles touchent tous les iPhone depuis iOS 6, mais il faut évidemment rappeler qu'une exploitation a pu avoir lieu à l'insu d'Apple. Quoi qu'il en soit, le correctif intégré à iOS 13.4.5 ne devrait plus trop tarder.
"La solution à l’heure actuelle est d’éviter d’utiliser Mail."
hahahaha
bon plus sérieusement la solution est de reinstaller l'iphone mais pas la sauvegarde ?
ou alors d'attendre la mise à jour aussi, de toutes façons, si le malware est deja là...
@raoolito
La mise à jour doit faire le nettoyage discrètement !
@raoolito
Utilisez Mail avec macOS au lieu d’iOS , donc sur un iMac et éviter les iMobiles ...
« Éviter d’utiliser mail »
Ça tombe bien car justement ....😆
Et quel est l’impact concret ? Vol de données ? ...
@Totoche31
Je t’ai vu hier te curer le nez.
Maintenant tu as une idée de ce que fait la faille 🤗
@Totoche31
https://twitter.com/rmogull/status/1253124362632228870?s=21
Apparemment pas assez de preuve 🤔
même si dans mail on utilise un compte gmail ?...
@albert13
Oui puisque le mail sera téléchargé de la même façon, c’est le client mail qui est en cause là apparemment
Le correctif est-il déjà présent dans la bêta d'iOS 13.4.5 ?
Ravages de quels genres SVP ?
visibles ou pas ?
c’est super inquiétant... et en plus depuis 2 ans ?!?!?
top de chez top cette nouvelle 😡😡
@albert13
« Tous les iPhone et iPad sont concernés, depuis iOS 6 »
Très loin des 2 ans, on est plus proche de 8 ans (iOS 6 en Septembre 2012)
@ios
Non la phrase signifie que la faille touche jusqu’à iOS 6, mais que le malware est actif depuis 2 ans en gros.
Sûrement que la faille exploite des features ou un bout de code intégré dans a ce moment là. Ou que les systèmes antérieurs sont trop anciens et que les pirates n’ont même pas pris la peine de l’adapter à eux.
@albert13
https://twitter.com/rmogull/status/1253124362632228870?s=21
Pas assez de preuve apparemment
@Krysten2001
Merci Krysten2001 mais l’english n’est pas mon fort... sorry...
@albert13
Il y a la traduction sur Twitter non ?🤔
Comment peut-on avoir une faille juste sur une entête de message?
@5ebastien
La faille n’est à priori pas dans l’entête lui même, mais dans la façon dont il sera interprété par le client mail utilisé. Il existe plein de client mail différents, qui lisent et interprètent les mail de différentes façons.
La faille réside ici dans la façon de faire du client Mail d’iOS, qui comporte des failles, exploitées par le pirate à l’origine du mail frauduleux. De plus, Mail étant une app système, elle a sûrement accès à certaines fonctionnalités auquel les développeurs « standards » n’ont pas accès...
@5ebastien
https://twitter.com/rmogull/status/1253124362632228870?s=21
A voir si il y a assez de preuve 🤔 pas sûr que ça prenne autant d’ampleur
Bon vous allez peut-être arrêter de le répéter! Déjà 25 fois, ça fait beaucoup...
Surtout que vous écrivez une grosse bêtise! Ce n'est pas l'ampleur de la faille qui est questionnée par ce twittos mais l'ampleur de son exploitation 😔
Ce dont les découvreurs ne se cachent pas! Ils ont listés les cas avérés d'exploitation de la faille, tout en indiquant que les mails actifs étant supprimés dès l'accès à l'iPhone obtenu, ils n'ont pas encore pu obtenir un exemplaire du malware pour l'étudier plus en détail et en chercher la trace sur d'autres iPhones, ce qui ne permet pas d'estimer combien d'iPhones ont pu être attaqués ainsi depuis que la faille existe sur iOS6.
@SyMich
« They’ve made some big claims… but from what they wrote it’s hard to see proof of exploitation. Basically, the bug is there but on its own can’t fully expose the phone… so where is the exploit chain or evidence of remote code execution? That’s what we need to really assess it. »
Qui croire ? Est-ce que la faille permet autant de chose ?
Ai-je bien compris, cela fait fait 2 ans que la faille n’est toujours pas bouchée ? Et donc exploitée par des malandrins....
« The vulnerabilities only impact the native Mail application, and not third-party apps. »
Donc pas concerné car utilisateur de Airmail et Spark.
des failles comme ça il doit avoir une dizaine. elle ne sont jamais rendue publique. mais il ne vont pas d'attaquer si t'es une personne ordinaire. si dans ton iPhone y a rien de valeur qui mérite un attaque de ce genre.
@marenostrum
Tout d’abord ce n’est pas pas remarque, laisser une faille ouverte pendant 2 ans en connaissance de cause est inacceptable et ce n’est pas sujet à discussion.
De plus, les personnes ciblées, outre les journalistes ou les VIP, sont les employées des sociétés Fortune 500 dont je fais aussi partie. Certains utilisent leurs mobiles aussi à titre professionnel et échangent donc des informations clients confidentielles.
ils ne savent pas la faille ou les failles. comment les régler.
@marenostrum
Il faut arrêter de défendre aveuglément une société qui se dit toujours sans reproche.
Et quand on ne sait pas,!on avertit ses clients afin qu’ils puissent prendre les mesures adéquates. Mais ce n’est pas envisageable puisque Apple est au dessus de toute faute.
De toute façon tu as vu leur déclaration ?
Classique chez eux, le discours est rodé !
Circulez ! C’est pas grave, c’est un malware dur à avoir et faites la sauvegarde
Je comprends mieux pourquoi je reçoit depuis des mois pleins de mail à la con du genre ...
@nespresso92
Qu'est ce que t'en sais que cette faille a été laissé volontairement... ? Tu bosses chez eux ?
Des failles en informatique existent tout le temps, c'est juste qu'il y a des sociétés ou des états qui essayent de les trouver (tout en les gardant pour eux, dans le but de les exploiter, ou de les vendre concernant les pirates).
@victoireviclaux
C’est incroyable d’entendre de pareilles inepties. Cette faille est connue et exploitée depuis 2 ans et peut être même depuis plus longtemps.
Quelque soit la raison pour laquelle elle n’est pas corrigée est inacceptable, et toutes excuses est irrecevables.
« The vulnerabilities exist at least since iOS 6 – (issue date: September 2012) – when iPhone 5 was released »
« We are aware of multiple attacks that happened starting from Jan 2018, on iOS 11.2.2. It is likely that the same threat operators are actively abusing these vulnerabilities presently. It is possible that the attacker(s) were using this vulnerability even earlier. »
https://blog.zecops.com/vulnerabilities/unassisted-ios-attacks-via-mobilemail-maild-in-the-wild/
il dit rien ton texte. pas plus que l'article. ils disent qu'y a une faille dans Mail depuis des années et c'est tout. on ne connait pas la faille, ni la méthode utilisée.
Apple peut la trouver maintenant en regardant la différence de Mail et les programmes qui ne l'ont pas.
@marenostrum
On ne peut rien pour vous.
@nespresso92
On ne peut plus rien pour toi si tu manques de pédagogie. Et si tu peux arrêter ton charabia sur chaque commentaire, ça serait encore mieux.
@victoireviclaux
Si Apple connaissait les failles on aurait un OS sans faille ce qui est impossible 🤣😂 il y a des personnes par moment...
@Krysten2001
On attendait plus que ta divine intervention Lucas. La boucle est bouclée.
Ps. si tu pouvais mettre le hola sur ton utilisation des émoticônes...
@Tabouret3
Oui bien sûr. C’est bien de coller des étiquettes aux gens, à vous croire supérieur. Être mieux que des ingénieurs ou penser qu’ils connaissent les failles... si cela était le cas, le système serait sans failles...
PS: je fais ce que je veux, vous n’avez pas à me dire ce que je faire, je mets des emoji si je veux.
@victoireviclaux
Pédagogie ? C'est une plaisanterie. Quand il est écrit que c'est blanc vous persistez à dire que c'est noir.
Apprenez à lire et à vous instruire. L'effort est la meilleure récompense d'un travail bien fait. Tout est expliqué en noir sur blanc et il y a même des photos.
Alors, votre verbiage gardez le pour vous.
@nespresso92 : franchement t'y connais rien pour sortir ce genre d'inepties, pourquoi est-ce toujours ceux qui en savent le moins qui l'ouvre le plus ? C'est incroyable...
@Ichigo-Roku
Et votre commentaire à la hauteur de votre intelligence.
@nespresso92
Apple ne l’a pas laissé ouverte en connaissance de cause, les seuls au courant de cette faille jusqu’à maintenant étaient les malandrins qui l’exploitaient
Apple se vante partout d'avoir l'OS le plus avancé au monde, le plus sécure, le plus tout. Donc laisser ouvert une faille pendant 2 ans est impardonnable !
@Calorifix
Apple n’était pas en connaissance de cette faille.
"Donc laisser ouvert une faille pendant 2 ans est impardonnable !"
Et "non détectée" pendant presque 8ans. :)
@mâle_blanc_cis_het_et_fier
La faille BadTunnel dans Windows a été détecté 20 ans après.
@mâle_blanc_cis_het_et_fier
C'est pas propre à Apple. Windows a fait pire. Tout ça pour dire qu'aucun OS n'est sécurisé à 100%.
@nespresso92
https://twitter.com/rmogull/status/1253124362632228870?s=21
De ce que je vois il n’y a pas assez de preuve qui permette un contrôle total
@Krysten2001
Ils ne parle parle pas de contrôle total du téléphone mais du manque de preuve d’utilisation de la faille.
Zuck lui semble dit le contraire.
https://twitter.com/ihackbanme/status/1252983336391176192?s=21
https://twitter.com/ihackbanme/status/1252970613636915201?s=21
Donc il y a des experts qui expliquent le problème techniquement...
https://blog.zecops.com/vulnerabilities/unassisted-ios-attacks-via-mobilemail-maild-in-the-wild/
...et ceux qui nient l’exploitation de la faille.
Le fond est différent mais la forme est la même sur les divergences concernant la chloroquine entre « experts » médicaux.
Après je vous laisse choisir votre camp, car je n’ai pas d’objectif de convaincre qui se soit surtout que le sujet est particulièrement technique et que les « experts » en sécurité divergent sur le fond.
@nespresso92
Pretty big claim of a no-click mail 0-day being used. Ils y en a qui ne sont pas d’accord. Qui croire ?
@nespresso92
https://appleinsider.com/articles/20/04/23/apple-says-ios-mail-vulnerabilities-do-not-pose-immediate-threat-patch-coming
Pages