Un bogue iMessage pourrait avoir exposé des utilisateurs d’iPhone à une surveillance ciblée, selon des chercheurs. Apple conteste cette affirmation et souligne que la vulnérabilité a été corrigée.
- Une faille dans iMessage pourrait avoir exposé des utilisateurs à une surveillance ciblée, selon iVify.
- Apple conteste cette affirmation, affirmant que la vulnérabilité a été corrigée.
- Le bug permettait aux attaquants de provoquer un crash de l'application sans intervention de la victime.
- Les chercheurs n'ont trouvé aucun logiciel malveillant sur les appareils touchés.
D’une part, une nouvelle vulnérabilité dans l’application iMessage, détectée par la société de sécurité iVify, aurait pu permettre des tentatives de surveillance silencieuse sur certains utilisateurs d’iPhone, y compris des journalistes et des représentants du gouvernement. D’autre part, Apple réfute ces conclusions en affirmant qu’il s’agissait d’un simple bug logiciel.
La vulnérabilité
La faille mise en lumière est liée à la gestion du partage de noms et photos dans l’application Messages. Le bug permettait aux attaquants d’envoyer une série de modifications pouvant entraîner un crash de l’application à distance, sans intervention nécessaire de la victime. Ce type de vulnérabilité est classé comme « zéro clique », nécessitant uniquement le numéro de téléphone cible.
Les observations
Entre avril 2024 et janvier 2025, iVify a examiné les journaux d’accidents d’environ 50 000 appareils iOS et a noté que ce type de crash était extrêmement rare, survenant sur moins de 0,002% des téléphones analysés. Des incidents conformes à cette vulnérabilité ont été observés chez un haut responsable de l’Union européenne, qui a reçu une notification de menace peu après son accident.
Les conclusions des chercheurs
Les chercheurs pensent que ce modèle ressemble aux attaques antérieures menées par des logiciels espions. Cependant, aucun logiciel malveillant n’a été découvert sur les dispositifs touchés.
La réaction d’Apple
Ivan Krstic, responsable du secteur sécurité chez Apple a déclaré : « Nous ne sommes pas d’accord avec l’affirmation selon laquelle il s’agissait d’une attaque ciblée ». Il précise également qu’Apple n’a trouvé aucune preuve crédible attestant que le bug avait été exploité et soulève le problème concernant la méthodologie employée par iVify pour établir ses conclusions.
Les implications
Ce rapport révèle comment certaines fonctionnalités puissantes peuvent présenter des risques nouveaux pour les utilisateurs. Dans cette optique, Apple utilise déjà des systèmes tels que BlastDoor pour filtrer les données entrantes mais montre néanmoins que les cyberattaquants évoluent constamment pour contourner ces protections.
Pour garantir leur sécurité numérique face à ce genre de menace potentielle, les utilisateurs sont encouragés à tenir leurs appareils à jour en installant immédiatement chaque mise à jour iOS dès sa sortie. Les professionnels travaillant dans des secteurs sensibles peuvent activer le mode verrouillage pour restreindre certaines fonctions afin de se protéger contre ces intrusions invisibles.
