C’est à Las Vegas que se tient la conférence Black Hat USA 2019. Où Apple Inc offre 1 million de dollars aux chercheurs en cybersécurité s’ils trouvent une faille dans l’iPhone. D’un autre côté, l’ingénieur en sécurité de Google fait la grève de la présentation. Natalie Silvanovich a partagé la présentation, intitulée “Look, No Hands ! La surface d’attaque à distance et sans interaction de l’iPhone”.
Dans cette présentation, elle a abordé les vulnérabilités de SMS, Visual Voicemail, MMS, Apple Mail et iMessage. Elle a stupéfié les auditeurs en déclarant que la réception d’un iMessage pouvait suffire pour que votre iPhone soit piraté. Soyez donc prudent avant de cliquer sur un lien externe. La menace du piratage de votre iPhone est entre vos mains. Elle inclut également les bugs dits “sans interaction”. Ils pourraient être utilisés pour abuser de l’appareil.
Natalie mentionne : “Ceux-ci peuvent être transformés en bugs qui exécutent du code et peuvent être utilisés à des fins militaires, comme l’accès à vos données”. En bref, elle avertit les utilisateurs d’iPhone qu’un seul bug suffit à porter atteinte à la sécurité de leur appareil.
Elle inclut également la messagerie des médias sociaux dans sa présentation, elle précise : “J’ai commencé à m’intéresser aux bugs sans interaction à cause d’une récente et dramatique vulnérabilité de WhatsApp qui permettait aux espions d’États-nations de compromettre un téléphone simplement en l’appelant, même si le destinataire ne répondait pas à l’appel.”
Puis elle est passée à la messagerie vocale, aux MMS et aux SMS. Quand elle a fait de l’ingénierie inverse, elle a trouvé de nombreux bugs nuisibles. Ces bogues sont suffisants pour donner la grève des messages texte. Lorsque vous cliquez sur un lien malveillant, les pirates peuvent en extraire des données. Ainsi, les données de l’utilisateur ne sont pas en sécurité.
Les pirates sont plus malins que la victime. Ils sont créés avec des textes spécialement conçus, et ces messages particuliers brisent les sécurités. Ils envoient des messages spécifiques sur le téléphone cible. Et le serveur iMessage renvoie ces données à l’expéditeur. Ils utilisent donc le contenu des messages ou des images pour le piratage. Une autre arme est les textes entrants sur le téléphone de la cible. Ainsi, le code malveillant est injecté par le biais du message dans le téléphone de la cible. En dehors d’Apple, les six failles ont été corrigées.
