iOS 16.5 – Avertissement de mise à jour immédiate émis pour tous les utilisateurs d’iPhone et d’iPad

Des milliards d’utilisateurs d’iPhone et d’iPad sont invités à mettre à jour leurs appareils vers iOS 16.5 maintenant, sans attendre le processus de mise à jour automatique, car Apple confirme que trois menaces de sécurité zero-day peuvent être activement exploitées dans des attaques réelles.

Mise à jour du 21/05 ci-dessous. Cet article a été initialement publié le 19 mai.

Que savons-nous de ces menaces de sécurité pour iPhone et iPad ?

Apple est bien connu pour ne rendre publics que les détails techniques rudimentaires concernant les vulnérabilités de sécurité corrigées dans toute mise à jour iOS, mais le géant du smartphone a confirmé que trois jours zéro sont inclus parmi les 39 abordés dans cette dernière version de mise à jour iOS.

Celles-ci ont toutes un impact sur WebKit et les utilisateurs d’iPhone 8 et versions ultérieures, tous les modèles d’iPad Pro, d’iPad Air 3e génération et versions ultérieures, d’iPad 5e génération et versions ultérieures et d’iPad Mini 5e génération et versions ultérieures. Faites le calcul et cela représente plus d’un milliard d’utilisateurs potentiellement exposés à ces vulnérabilités du jour zéro, à moins qu’ils ne passent à la version 16.5 dès que possible.

Les trois zero-days WebKit confirmés par Apple

Les trois vulnérabilités résidaient toutes dans le moteur de navigateur WebKit, et Apple a confirmé qu’il “a connaissance d’un rapport selon lequel ce problème pourrait avoir été activement exploité.”

Concrètement, ce sont

• CVE-2023-32409 qui pourrait permettre à un attaquant distant de sortir du sandbox de sécurité du contenu Web.
• CVE-2023-28204 qui peut divulguer des informations sensibles lors du traitement du contenu Web.
• CVE-2023-32373, qui pourrait entraîner l’exécution de code arbitraire à l’aide de contenu Web conçu de manière malveillante.

Un expert en sécurité met en garde contre les impacts graves si un attaquant réussit à exploiter ces failles

iOS 16.5 se présente comme “un autre mélange de vulnérabilités, certaines avec des impacts assez graves si un attaquant réussissait à les exploiter”, selon l’ingénieur principal en sécurité des applications chez Featurespace, Sean Wright. “Enchaîner certaines de ces vulnérabilités pourrait potentiellement permettre à un attaquant de prendre à distance le contrôle total d’un appareil”, poursuit Wright.

Cependant, Wright convient que les vulnérabilités les plus inquiétantes sont ces vulnérabilités WebKit, qui seraient activement exploitées dans la nature. “Ce sont ceux qui me préoccuperaient”, déclare Wright, “je recommanderais fortement aux gens de mettre à jour quand ils le peuvent, mais il n’y a pas non plus de raison de paniquer à propos de ces vulnérabilités non plus. Il s’agira probablement de vulnérabilités ciblées, ciblant des profiler les utilisateurs tels que les médias, les politiciens, etc.”

Mise à jour du 21/05 : bien que la mise à jour 16.5 d’iOS soit tout juste sortie des blocs de départ et qu’elle soit essentielle pour une installation précoce en raison des trois jours zéro “dans la nature” parmi les 39 vulnérabilités de sécurité traitées, ce n’est pas la seule mise à jour iOS en ville. Apple a également a publié les premières bêtas d’iOS 16.6et iPadOSA 16.6 d’ailleurs, au Canal du programme pour développeurs Apple.

Bien que peu de détails aient été disponibles immédiatement, les détails ont inévitablement commencé à fuir. Et c’est une bonne nouvelle du point de vue de la sécurité et de la confidentialité. Selon Apple Insider la fonctionnalité de vérification de clé de contact tant attendue pour iMessage semble enfin être une réalité.

Cependant, si la fonction, destinée à ceux qui, comme Apple le décrit, fait face à des “menaces numériques extraordinaires”, doit certainement être applaudie, ces applaudissements devront probablement encore attendre un certain temps. Comme le rapporte Apple Insider, “le paramètre existe dans la version bêta, rapporte MacRumors, il ne semble pas que le paramètre ait été activé dans iOS lui-même”. Tout cela signifie que les militants, les journalistes de haut niveau, les employés du gouvernement et ceux des secteurs souvent ciblés tels que l’armée, la défense et la finance devront attendre un peu plus longtemps pour plus de protection lors de l’utilisation d’iMessage.

La durée exacte est incertaine, mais Apple a déclaré qu’il serait disponible “à un moment donné” cette année.

Qu’est-ce que la vérification des clés de contact pour iMessage ? Eh bien, l’objectif déclaré de la fonction de vérification de la clé de contact d’iMessage est de protéger les utilisateurs de grande valeur et à haut risque de ceux qui sont les plus susceptibles d’être ciblés par des acteurs malveillants, y compris ceux parrainés par l’État disposant de ressources suffisantes. En termes simples, ce que la fonction ajoute au chiffrement de bout en bout existant d’iMessage est la possibilité de vérifier que la messagerie est entre l’expéditeur et le destinataire prévu, sans aucune écoute externe. Le rapport Apple Insider a déclaré que cela alerterait les utilisateurs “si un attaquant parrainé par l’État réussissait d’une manière ou d’une autre à violer les serveurs cloud ou à trouver un moyen de surveiller les communications cryptées”, en supposant que les deux parties aient activé la vérification de la clé de contact.

Pourquoi vous devez mettre à jour vers iOS 16.5 maintenant

Ainsi, bien qu’il n’y ait pas lieu de paniquer ici, il est nécessaire de mettre à jour votre iPhone ou iPad vers iOS 16.5 dès que possible. Bien que de nombreuses personnes trouvent que le processus de mise à jour automatique d’iOS s’en charge pour elles pendant leur sommeil ce soir, ce ne sera pas le cas pour tout le monde. En effet, un chercheur en sécurité qui est considéré comme un ami de l’équipe Straight Talking Cyber ​​ici à Forbes n’a jamais eu de travaux de mises à jour automatiques sur l’un de ses nombreux modèles d’iPhone utilisés dans son travail de test de vulnérabilité et d’exploit. En effet, étant donné que ces mises à jour automatiques se déploient région par région, les utilisateurs sont invités à emprunter plutôt la voie de la mise à jour manuelle. Rendez-vous simplement dans Paramètres | Général | Mise à jour du logiciel et vous pourrez lancer le processus de mise à jour.

Pour les fonctionnalités et les améliorations de fonctionnalités incluses dans la version iOS 16.5, veuillez consulter cet excellent article de David Phelan.

Pour une analyse des implications de la mise à niveau avec iOS 16.5, consultez l’article de Gordon Kelly ici.