Apple : une faille de sécurité majeure découverte dans l’application Mail sur iPhone et iPad
Une entreprise spécialisée dans la cybersécurité est à l’origine de cette découverte. Un correctif a été lancé en bêta, avant un déploiement pour l’ensemble des utilisateurs dans la prochaine mise à jour.
ZecOps, une entreprise spécialisée en cybersécurité, a révélé une importante faille de sécurité dans l’application de mails native d’Apple, rendant vulnérables quelques centaines de millions d’iPhone et d’iPad. Cette faille a été découverte lors d’une enquête menée par l’entreprise sur une cyberattaque qui a touché l’un de ses clients fin 2019. Elle aurait été exploitée contre 6 cibles de premier plan : des employés d’une entreprise figurant dans le classement Fortune 500 en Amérique du Nord, un cadre d’un transporteur au Japon, un VIP en Allemagne, un journaliste en Europe, un cadre d’entreprise en Suisse ou encore d’autres victimes en Arabie Saoudite et en Israël.
La vulnérabilité existerait depuis la sortie d’iOS 6 en 2012
« La portée de l’attaque consiste à envoyer un e-mail spécialement conçu dans la boîte de réception d’une victime lui permettant de déclencher la vulnérabilité dans le contexte de l’application mobile Mail sur iOS 12 ou iOS 13 », explique ZecOps dans son rapport. L’exploitation de cette faille, à distance, ne nécessiterait aucune action de la victime : pas de fichier à télécharger ni de site corrompu à visiter. Il suffisait d’ouvrir un email vierge, à première vue, via l’application Mail sur mobile pour forcer un crash et une réinitialisation. Le crash ouvrait ainsi la porte aux hackeurs, qui pouvaient alors s’emparer des données stockées au sein de l’appareil à partir de l’application.
C’est en analysant les conclusions sur les données des rapports de plantage générés lorsqu’un programme échoue en cours de tâche que les chercheurs de ZecOps auraient fait cette découverte. Selon l’entreprise, un programme malveillant aurait pu tirer parti de cette vulnérabilité du système d’exploitation mobile d’Apple depuis janvier 2018. Pire, selon l’entreprise, la faille existerait dans l’application Mail depuis au moins iOS 6, qui est sorti en 2012. « Ces vulnérabilités – en particulier le débordement de tas à distance – sont largement exploitées dans la nature dans le cadre d’attaques ciblées par un ou des opérateurs de menace avancés », ajoute ZecOps.
Un correctif déployé avec la prochaine mise à jour iOS
Si aucune preuve publique n’a été diffusée et que les chercheurs n’ont pas été capable de récupérer le code malicieux, les mails ayant été supprimés à distance par les hackeurs, l’information a été prise au sérieux par Apple, qui n’a pas souhaité faire de commentaire. Contacté en mars dernier par ZecOps, la firme américaine a reconnu l’existence de la faille, qui a été corrigée dans la dernière version bêta d’iOS. Un correctif doit être déployé lors de la prochaine mise à jour pour l’ensemble des utilisateurs dans les semaines à venir.
Community managers : découvrez les résultats de notre enquête 2025
Réseaux, missions, salaire... Un webinar pour tout savoir sur les CM, lundi 29 septembre à 11h !
Je m'inscrisLes meilleurs outils pour les professionnels du web
Surfshark VPN
Surfshark Antivirus
Norton Small Business
