Lundi, Apple a publié des mises à jour pour ses systèmes d’exploitation mobiles pour iOS et iPados, ce qui a corrigé un défaut qui, selon la société, « pourrait avoir été exploité dans une attaque extrêmement sophistiquée contre des individus ciblés spécifiques ».
Dans les notes de publication pour iOS 18.3.1 et iPados 18.3.1, la société a déclaré que la vulnérabilité avait permis la désabonnement du mode restreint USB «sur un dispositif verrouillé». Introduit en 2018, le mode restreint USB est une fonctionnalité de sécurité qui bloque la possibilité pour un iPhone ou un iPad d’envoyer des données sur une connexion USB si l’appareil n’est pas déverrouillé pendant sept jours. L’année dernière, Apple a publié une autre fonctionnalité de sécurité qui redémarre les appareils s’ils ne sont pas déverrouillés pendant 72 heures, ce qui en fait des pouces de droit ou des criminels utilisant des outils alimentaires pour accéder aux données sur ces appareils.
Sur la base de son langage utilisé dans sa mise à jour de sécurité, Apple laisse entendre que les attaques ont probablement été effectuées avec le contrôle physique de l’appareil d’une personne, ce qui signifie que quiconque abusait de cette faille devait se connecter aux appareils Apple de la personne avec un appareil médico-légal comme deux systèmes qui permettent à l’enfilage de la loi de déverrouiller et d’accéder aux données stockées sur les iPhones et autres appareils.
La vulnérabilité a été découverte par Bill Marczak, chercheur principal au Citizen Lab, un groupe de l’Université de Toronto qui enquête sur les cyberattaques contre la société civile.
Contact américain
Avez-vous plus d’informations sur ce défaut, ou autre iPhone Zero-Day et Cyberattaques? À partir d’un dispositif non-travail, vous pouvez contacter Lorenzo Franceschi-Bicchiera en toute sécurité sur le signal à +1 917 257 1382, ou via Telegram et Keybase @lorenzofb, ou e-mail. Vous pouvez également contacter TechCrunch via SecuredRop.
Apple n’a pas répondu à une demande de commentaire par temps de presse.
Marczak a déclaré à TechCrunch qu’il ne pouvait pas commenter le dossier à ce stade.
On ne sait pas à ce stade qui était responsable de l’abus de cette faille et contre qui il a été utilisé. Mais il y a eu des cas documentés dans le passé où les agences d’application de la loi ont utilisé des outils médico-légaux, qui abusent habituellement de soi-disant défauts zéro jour dans des appareils comme l’iPhone, pour déverrouiller les appareils et accéder aux données à l’intérieur.
En décembre 2024, Amnesty International a publié un rapport documentant une série d’attaques des autorités serbes où ils ont utilisé Celbite pour déverrouiller les téléphones d’actiiss et les journalistes du pays, puis d’installer des logiciels malveillants sur eux.
Les chercheurs en sécurité ont déclaré que les appareils médico-légaux Celbite étaient probablement utilisés «largement» sur les individus de la société civile, selon Amnesty.
