Apple a confirmé, via TechCrunch, avoir corrigé une faille zéro-day utilisée pour déployer des logiciels espions mercenaires sur les iPhones de journalistes. Ce correctif a été inclus dans la mise à jour iOS 18.3.1, publiée plus tôt cette année.
La faille, révélée aujourd’hui dans un avis de sécurité mis à jour, a été exploitée par la société de surveillance israélienne Paragon pour pirater les téléphones d’au moins deux journalistes européens.
<pSelon Citizen Lab, qui a enquêté sur ces attaques, Apple a patché la vulnérabilité dans la mise à jour iOS 18.3.1 de février, mais n’a pas communiqué à ce sujet jusqu’à cette semaine.
Initialement, l’avis d’Apple en février ne faisait référence qu’à une vulnérabilité distincte, liée aux sécurités de verrouillage des iPhones. Toutefois, comme l’a révélé Citizen Lab dans son rapport publié aujourd’hui, Apple a mis à jour cet avis pour reconnaître une deuxième faille, jusqu’alors non divulguée : un problème dans la manière dont iOS traitait les photos et vidéos envoyées via iCloud Links.
Selon l’entreprise, cette vulnérabilité « pourrait avoir été exploitée dans une attaque extrêmement sophistiquée contre des individus ciblés spécifiques ».
Qui a été ciblé ?
Citizen Lab a identifié que l’exploit visait le journaliste italien Ciro Pellegrino et un autre journaliste européen, non nommé, mais « prominent ». Tous deux avaient préalablement reçu des notifications génériques d’Apple concernant des menaces de logiciels espions, sans détails sur l’entité ou la méthode derrière l’attaque.
Paragon a gagné en notoriété en janvier, lorsque WhatsApp a averti environ 90 utilisateurs (y compris des journalistes et des défenseurs des droits de l’homme) qu’ils avaient été ciblés par le logiciel espion Graphite de Paragon. Ces alertes ont été suivies d’une nouvelle vague en avril, cette fois de la part d’Apple, qui a informé certains utilisateurs d’iPhone dans 100 pays qu’ils pouvaient avoir été ciblés par des « logiciels espions mercenaires ».
À l’époque, l’alerte d’Apple ne mentionnait pas Paragon par son nom, une décision expliquée par l’entreprise comme étant motivée par des raisons de sécurité. « >Nous ne sommes pas en mesure de fournir plus d’informations sur ce qui nous a conduits à vous envoyer cette notification, car cela pourrait aider les attaquants à adapter leur comportement pour éviter la détection à l’avenir.
Cependant, le rapport d’aujourd’hui de Citizen Lab confirme pour la première fois que Paragon était effectivement derrière au moins deux des attaques affectant les utilisateurs d’iPhone ayant reçu la notification d’Apple.
