Google surprend les utilisateurs d’iPhone, iPad et Mac d’Apple : de » nombreuses nouvelles vulnérabilités » révélées
Google, semble-t-il, vient de récidiver. L’année dernière, les chasseurs de bugs d’élite du géant de la technologie, le Projet Zéro, ont fait sensation dans les médias en divulguant des failles de sécurité dans Apple iOS qui permettaient de pirater des appareils. Il s’est avéré que les piratages, imputés à la Chine, n’étaient pas limités à Apple, et Google a essuyé quelques critiques. Maintenant, la même équipe de Google a lancé une autre divulgation surprise « axée sur l’écosystème Apple », en examinant les vulnérabilités de base qui pourraient fournir aux attaquants un point d’entrée.
Le moment choisi pour le rapport de Google, intitulé de manière alléchante « Fuzzing ImageIO » est aussi intéressant que son contenu. Au cours de la semaine dernière, nous avons vu deux problèmes de sécurité d’Apple faire les gros titres dans le monde entier. Tout d’abord, un rapport de sécurité affirmant que la propre application de messagerie d’Apple peut être plantée avec un e-mail malicieusement conçu, ouvrant une porte dérobée pour d’autres exploits, puis l’histoire naturellement virale du texte piégé.
MORE FROM FORBESBeware-This Malicious New iPhone ‘Text Bomb’ Crashes iOS 13 : Here’s What You DoBy Zak Doffman
Le dénominateur commun avec ces histoires récentes est l’avertissement que le traitement de base du système peut être exploité. En déclenchant une réponse logicielle inattendue sur un appareil, les contrôles habituels verrouillés peuvent être amenés à se comporter de manière imprévisible. Et cela ouvre la porte à une attaque, qui utilise souvent un vecteur complètement différent. Ce qui est intéressant, c’est que même les fonctions de base utilisées par des milliards de personnes – le courrier et la messagerie – ont toujours ce potentiel d’ouvrir une porte dérobée.
Et c’est ce même thème qui a été rapporté hier (28 avril) par l’équipe du projet zéro de Google, qui a « révélé de nombreuses nouvelles vulnérabilités qui ont depuis été corrigées. » Les vulnérabilités sont décrites comme « un ancien type de problème », ciblant les fichiers multimédias envoyés sur des plateformes de messagerie » dans le cadre d’ImageIO. Selon le rapport de Google, de multiples vulnérabilités « ont été trouvées, signalées à Apple ou aux mainteneurs respectifs de la bibliothèque d’images open source, puis corrigées. »
Et donc, du point de vue de l’utilisateur, si vous avez mis à jour votre système d’exploitation comme vous le devriez toujours, vous serez protégé. Eh bien, en quelque sorte – ce n’est pas si simple. Google prévient que même si les failles divulguées ne sont pas suffisantes pour permettre une prise de contrôle de l’appareil ou une exfiltration de données sérieuse, « avec suffisamment d’efforts, certaines des vulnérabilités trouvées peuvent être exploitées dans un scénario d’attaque ». Et c’est en gros le type de risque revendiqué pour la vulnérabilité du courrier d’Apple. Mais plus précisément, Google prévient également qu' »il est également probable que d’autres bogues subsistent ou seront introduits à l’avenir. »
PLUS DE FORBESBeware-This Malicious New iPhone ‘Text Bomb’ Crashes iOS 13 : Here’s What You DoBy Zak Doffman
Techniquement, l’utilisation d’images pour exposer des vulnérabilités n’est pas rare. Nous avons vu des rapports ayant un impact sur les plateformes de messagerie populaires au cours des derniers mois qui font exactement cela. Lorsqu’une image est reçue, le dispositif doit analyser les données pour savoir comment la gérer et l’afficher – quel lecteur et quels paramètres de traitement. La plupart des messages que nous envoyons sont des JPEG, des GIFS ou des PNG courants, mais, selon Google, « il en existe également de nombreux autres plutôt exotiques. »
Google a testé la sécurité d’Apple en brouillant les images, c’est-à-dire en rendant les données aléatoires de sorte que l’appareil ne sache pas comment les traiter et qu’il s’effondre potentiellement en essayant. L’approche de Google ne se voulait pas exhaustive, mais illustrative, et ils ont fait remarquer qu’une version plus sophistiquée de la même approche aurait pu donner de meilleurs résultats. Ils n’ont pas suivi le fuzzing d’image avec d’autres exploits pour profiter de l’échec initial.
Toute une série de vulnérabilités ont été trouvées, divulguées et ont été patchées – d’où le rapport. Google suggère aux fournisseurs d’adopter un « fuzz-testing continu » et recommande également aux plateformes de messagerie de rejeter tous les formats d’images sauf les plus courants, « au moins pour les aperçus de messages qui ne nécessitent pas d’interaction ». Moins il y a de possibilités d’attaques, mieux c’est, et comme le souligne l’équipe, « cela réduirait la surface d’attaque d’environ 25 formats d’images à une poignée ou moins. »
Ces problèmes affecteraient tous les systèmes d’exploitation d’Apple avant l’application des correctifs. L’utilisation de ce type de vecteur d’attaque pour rendre un appareil vulnérable avant qu’il ne soit attaqué est souvent au cœur des cyberattaques sophistiquées, même au niveau des États-nations. Les groupes de menaces accordent du prix aux exploits dont ils peuvent être sûrs qu’ils fonctionneront sur les appareils cibles, ce qui explique pourquoi ils se concentrent sur le traitement du noyau du système d’exploitation ou sur des plates-formes à hyper échelle comme WhatsApp.
En attendant, Apple espère que cela met fin à quelques jours assez torrides de divulgations de sécurité. La société a corrigé ces problèmes et fait de même avec les vulnérabilités du courrier et du texte. Mais, comme toujours, l’ébranlement de la confiance des utilisateurs est un problème. Et pour Apple, qui se commercialise sur la sécurité de sa plateforme, ce ne sont jamais de bonnes histoires à voir faire la une des médias.