Un expert en cybersécurité a découvert une vulnérabilité qui affecte l'appli Mail d'iOS et met en danger les données des utilisateurs
Le client de messagerie d'Apple, l'appli Mail, est dangereux car il présente une sérieuse vulnérabilité. Et ce, depuis très longtemps : depuis la sortie d'iOS 6 en 2012. C'est ce qu'a découvert la société de cybersécurité ZecOps, qui estime également que la vulnérabilité a déjà été exploitée au moins une fois.
En exploitant cette vulnérabilité, un pirate pourrait exécuter un code malveillant (c'est-à-dire un logiciel malveillant ou un virus) sur l'appareil d'une personne, dans certains cas sans que l'utilisateur ait à cliquer sur un lien ou à télécharger un fichier : il s'agit d'un bug dans l'application Mail et iOS, qui peut être exploité en envoyant à la victime un e-mail normal. Le problème, explique ZecOps, est que les appareils fonctionnant sous iOS 13 sont encore plus faciles à attaquer que ceux fonctionnant sous iOS 12 ou avant. Le premier cas réel d'une attaque exploitant cette vulnérabilité, selon l'entreprise de sécurité électronique, remonte à janvier 2018, lorsqu'un appareil équipé d'iOS 11.2.2 a été attaqué. La solution ? Il n'y en a pas : Apple n'a pas encore publié de patch pour le système d'exploitation ou pour Mail qui pourrait combler la faille.
Pourquoi l'appli Mail est dangereuse
La vulnérabilité découverte par ZecOps consiste en un bug qui permet à un pirate d'exécuter du code à distance s'il envoie à la victime potentielle un email qui consomme beaucoup de RAM. Il n'est pas nécessaire d'avoir un message volumineux, mais simplement d'emballer le courriel d'une manière qui augmente considérablement la consommation de mémoire. Une fois cette opération réalisée, la vulnérabilité entre en jeu, mais ZecOps ne l'a pas décrite en détail, afin de laisser à Apple le temps de combler la faille.
Pas besoin de cliquer
La vulnérabilité peut être activée avant que l'ensemble de l'email ne soit téléchargé, de sorte que son contenu ne restera pas nécessairement sur l'appareil et, par conséquent, ne laissera peut-être même pas de trace. Il est possible qu'il y ait eu de nombreuses attaques de ce type, sans que personne ne s'en aperçoive. Cela s'explique également par le fait que dans iOS 13, l'utilisateur n'a pas besoin de cliquer sur des liens ou de télécharger des fichiers joints. Sur iOS 12 ou antérieur, cependant, une action de l'utilisateur est nécessaire. Dans tous les cas, l'attaque commence avant même que l'appareil n'affiche le message électronique. Comme il n'existe pas encore de correctif pour cette vulnérabilité, ZecOps conseille à tous les utilisateurs d'Apple de ne pas utiliser l'application Mail et de la remplacer temporairement par une application équivalente.