Apple n’a pas encore terminé un correctif dans iOS pour contrer les attaques de Pegasus. Cette vulnérabilité 0-day affecte le service de messagerie iMessage sur iOS, permettant aux pirates de s’introduire dans les iPhones sans interaction de l’utilisateur.
L’outil de sécurité Pegasus est devenu le centre d’intérêt de juillet, après qu’une enquête internationale a révélé que l’outil avait été utilisé pour pirater des iPhones et des smartphones. Ce logiciel est utilisé par des dizaines de gouvernements pour espionner des opposants politiques, des militants des droits de l’homme, des journalistes, voire des chefs d’État, des hommes d’affaires, des politiciens, .. Dans une nouvelle mise à jour, l’outil Pegasus a également été mis à niveau pour pouvoir pénétrer les iPhones fonctionnant la nouvelle version iOS.
Apple déploie des mesures de sécurité renforcées pour iOS15.
Selon un rapport de l’outil de sécurité Pegasus du groupe NSO, une nouvelle vulnérabilité zéro clic a été découverte sur la plateforme iOS en février, permettant à des pirates de s’introduire dans le système d’exploitation iOS. Cette vulnérabilité affecte iOS 14.4 (le dernier à l’époque) et également iOS 14.6 publié peu de temps après, et brise le “pare-feu” qu’Apple a introduit plus tôt sur iOS 14 appelé “Blast Door”, une fonctionnalité qui permet de réduire les données malveillantes envoyées via iMessage. Les experts en sécurité ont nommé l’attaque utilisant cette vulnérabilité iMessage Entrée forcée. On dit que les piratages exploitent une vulnérabilité 0-day (un terme qui fait référence à une vulnérabilité jusqu’alors inconnue) à l’intérieur de l’application iMessage, permettant aux pirates d’installer le moteur Pegasus de manière entièrement automatisée.
Actuellement, Apple a refusé de commenter si la société a corrigé cette vulnérabilité ou non, mais une nouvelle information indique que cette vulnérabilité a été corrigée par Apple dans la mise à jour iOS 14.7.1 publiée en juillet via. Un porte-parole d’Apple a déclaré que Blast Door n’est qu’une partie des efforts d’Apple pour protéger les utilisateurs d’iMessage, et qu’il y aura davantage de mécanismes de sécurité mis en œuvre avec iOS 15. Pour ceux qui craignent d’avoir été affectés par le piratage, iMazing a développé un outil basé sur le Mobile Verification Toolkit créé par Amnesty International pour détecter les preuves d’une intrusion de Pegasus sur iPhone.