Un exemplaire de ForcedEntry, une attaque zero-day et zero-click, a été détecté dans le smartphone d’un activiste saoudien. Des correctifs ont été diffusés par Apple pour iOS, macOS et watchOS.
Les chercheurs en sécurité de Citizen Lab continuent avec succès la traque de Pegasus, le fameux logiciel d’espionnage du groupe israélien NSO. En analysant l’iPhone d’un activiste saoudien, ils ont réussi à mettre la main sur un exemplaire de « ForcedEntry », une attaque zero-day et zero-click qui a été détectée fin août, et qui exploite des failles dans la messagerie iMessage.
L’attaque en question date de mars 2021, mais ce n’est qu’à la suite d’une « reanalyse récente » que les experts ont pu extraire plusieurs dizaines de faux fichiers GIF dans un dossier dédié aux pièces jointes de la messagerie. Ces fichiers — qui sont en réalité de type Adobe PSD ou Adobe PDF — contenaient une partie du code malveillant de ForcedEntry.
Cela été confirmé par Apple qui a également analysé les fichiers. L’entreprise précise que la vulnérabilité sous-jacente (CVE-2021-30860) permettait de forger un PDF vérolé qui, au moment du traitement sur l’iPhone, pouvait exécuter du code arbitraire sur l’appareil. L’attaque s’appuie notamment sur un dépassement de nombre entier dans la librairie de rendu graphique CoreGraphics.
ForcedEntry fonctionnait non seulement sur tous les iPhones, mais aussi sur tous les Mac et toutes les Watch, d’Apple. Des correctifs ont été diffusés pour ces plates-formes, en l’occurrence iOS 14.8, macOS Big Sur 11.6, Security Update 2021-005 Catalina et watchOS 7.6.2. Il est conseillé de mettre à jour ses appareils le plus rapidement possible.
source : 01net