Apple a discrètement corrigé une vulnérabilité critique de type zero-day sur l’iPhone, exploitée contre des journalistes. Cette faille, révélée récemment, soulève des préoccupations majeures sur la sécurité des données. Les experts soulignent l’importance d’une vigilance constante face aux menaces qui ciblent les professionnels des médias dans le monde numérique.

Apple corrige discrètement une vulnérabilité zero-day de l’iPhone utilisée contre des journalistes

Fuite de données des outils internes d'Apple

Détails de la vulnérabilité

Apple a confirmé récemment qu’une faille de sécurité zero-day, utilisée pour déployer des logiciels espions sur les iPhones de journalistes, a été discrètement corrigée dans la mise à jour iOS 18.3.1. Cette mise à jour a été publiée plus tôt cette année, en février, mais Apple n’a pas annoncé la correction de cette vulnérabilité avant cette semaine, selon un rapport de TechCrunch.

La vulnérabilité a été exploitée par la société israélienne de surveillance Paragon pour pirater les téléphones d’au moins deux journalistes européens. Citizen Lab, qui a enquêté sur ces attaques, a révélé qu’Apple avait corrigé ce problème dans la mise à jour d’iOS, bien que cela n’ait pas été communiqué au public jusqu’à récemment.

Mise à jour de la politique de sécurité

Au départ, l’avis de sécurité publié par Apple en février ne mentionnait qu’une vulnérabilité distincte liée aux verrouillages de sécurité de l’iPhone. Cependant, Citizen Lab a confirmé qu’Apple avait mis à jour cet avis pour reconnaître une seconde faille, auparavant non divulguée, qui concerne la manière dont iOS gérait les photos et vidéos envoyées via des liens iCloud.

D’après Apple, cette vulnérabilité "pourrait avoir été exploitée dans une attaque extrêmement sophistiquée contre des individus cibles spécifiques".

Qui a été ciblé ?

Citizen Lab a révélé que l’exploit a été utilisé pour cibler le journaliste italien Ciro Pellegrino et un second journaliste européen "prominent" dont le nom n’a pas été dévoilé. Ces journalistes avaient précédemment reçu des notifications de sécurité génériques d’Apple concernant des menaces de logiciels espions, sans détails sur l’entité ni la méthode de l’attaque.

Paragon a attiré l’attention en janvier dernier, lorsque WhatsApp a informé environ 90 utilisateurs, incluant des journalistes et des défenseurs des droits de l’homme, qu’ils avaient été ciblés par le logiciel espion Graphite de Paragon. Cette alerte a été suivie en avril par une notification d’Apple, qui a averti certains utilisateurs d’iPhone dans plus de 100 pays qu’ils pourraient avoir été visés par des "logiciels espions mercenaires".

Surveillance et confidentialité

Lors de cette alerte, Apple n’a pas mentionné Paragon par son nom, expliquant que cela était intentionnel pour des raisons de sécurité. L’entreprise a déclaré :

"Nous ne pouvons pas fournir plus d’informations sur ce qui nous a poussés à vous envoyer cette notification, car cela pourrait aider les attaquants de logiciels espions mercenaires à adapter leur comportement pour éviter d’être détectés à l’avenir. Les notifications de menace d’Apple comme celle-ci ne vous demanderont jamais de cliquer sur des liens, d’installer une application ou un profil, ou de fournir votre mot de passe Apple."

Le rapport de Citizen Lab publié récemment confirme pour la première fois que Paragon était effectivement derrière au moins deux des attaques visant les utilisateurs d’iPhone ayant reçu la notification d’Apple.

Impact des logiciels espions

L’utilisation de logiciels espions pour cibler des journalistes soulève de graves préoccupations concernant la sécurité et la confidentialité. Les attaques de ce type peuvent avoir des conséquences dévastatrices sur la liberté de la presse et la sécurité des journalistes, qui font souvent face à des menaces dans l’exercice de leur fonction.

Il est crucial que les entreprises technologiques, comme Apple, prennent des mesures proactives pour protéger la vie privée de leurs utilisateurs et prévenir de telles violations de sécurité. Les mesures de sécurité doivent être renforcées, et la transparence autour des vulnérabilités doit être améliorée pour assurer une meilleure protection contre les logiciels espions.

Pour plus d’informations sur ce sujet, consultez l’article complet sur Citizen Lab.

Qu’est-ce qu’une faille zéro-day ?

Une faille zéro-day est une vulnérabilité dans un logiciel qui est inconnue des développeurs et qui peut être exploitée par des attaquants avant qu’une solution ne soit mise en place.

Qui a été ciblé par l’attaque ?

Les victimes incluent le journaliste italien Ciro Pellegrino et un autre journaliste européen non nommé, tous deux ayant reçu des notifications génériques de menace de spyware de la part d’Apple.

Comment Apple a-t-il réagi à la faille ?

Apple a corrigé la faille dans la mise à jour iOS 18.3.1, mais n’a pas mentionné l’attaque spécifique jusqu’à récemment, lorsque Citizen Lab a révélé des détails supplémentaires sur l’exploitation de la vulnérabilité.

Quel type de spyware a été utilisé ?

Le spyware utilisé dans cette attaque est un logiciel de surveillance développé par la société israélienne Paragon, qui a été utilisé pour cibler des journalistes spécifiques.

Apple Répare Discrètement une Vulnérabilité Zero-Day de l’iPhone Ciblant les Journalistes : Ce Que Vous Devez Savoir

Découvrez comment l’application Google Home révolutionne l’utilisation de vos anciens thermostats Nest !

Profitez de Remises Incroyables : Économisez 620 $ sur le Tab S10 Ultra, Découvrez le Fold 7 et les Nothing Headphones (1) !

Découvrez le Nouveau Files by Google M3 : Un Design Éblouissant avec Carrousel Animé et Navigation Intuitive !