Mieux vaut télécharger rapidement la dernière mise à jour d'iOS, le système d'exploitation des iPhone et iPad... Apple a en effet corrigé jeudi soir trois failles de sécurité qui permettaient de pirater et d'espionner n'importe quel iPhone à distance.
Tentative de piratage. La faille a été découverte par les sociétés spécialisées dans la sécurité Citizen Lab et Lookout. Alertée par Ahmed Mansoor, un activiste défenseur des droits de l’homme des Emirats arabes unis, Citizen Lab, une entité de l’université de Toronto spécialisée en cybersécurité, a commencé à enquêter sur un message suspect avec Lookout. L'homme avait en effet reçu, le 10 août dernier, un message lui promettant de "nouveaux secrets à propos de l'utilisation de la torture dans les prisons des Émirats", et contenant un lien.
En réalité, le lien ne contenait pas des révélations sur les agissements des Emirats, mais un logiciel extrêmement sophistiqué. Un simple clic sur ce lien aurait suffi pour installer sur son iPhone un logiciel espion qui aurait pris le contrôle du téléphone et aurait ensuite été en mesure d'activer la caméra de l'appareil ou d'enregistrer des conversations grâce au micro, à n’importe quel moment.
Plusieurs iPhone touchés. D'après les recherches de Lookout et Citizen Lab, le programme, baptisé Pegasus, a aussi touché d'autres personnes. Un journaliste mexicain et des individus résidant au Kenya, à l'identité inconnue, auraient notamment été ciblés.
Des failles "zero day". Si les tentatives de piratage de smartphones ne sont pas nouvelles, le logiciel découvert ici est d'une grande sophistication. Les pirates ont en effet utilisé trois failles "zero day". Derrière cette appellation se cachent les failles, rares, qui n'ont pas encore été découvertes et peuvent donc être utilisées par des pirates sans que personne ne le remarque. La découverte d'une telle faille après le piratage d'un smartphone étant déjà peu courante, le fait que trois failles soient découvertes au même moment, qui plus est sur iOS - un système réputé sûr -, est, sinon une première, un événement rarissime.
Une société israélienne derrière le piratage. Lors de leurs recherches, Citizen Lab et Lookout ont réussi à remonter jusqu'à l'entreprise ayant mis en place le piratage. Derrière Pegasus, on retrouve NSO Group, une entreprise spécialisée dans les solutions d'écoutes pour téléphone mobile à destination des Etats. Et si peu d'informations sont disponibles sur cette entreprise, on sait tout de même que la société a été fondée par un ancien membre des hackeurs d’élite de l’armée israélienne.
Apple comble la faille. Peu de temps après leur découverte, Lookout et Citizen Lab ont alerté Apple, qui a publié jeudi soir un correctif pour combler ses vulnérabilités. Pour repérer ce type de failles, Apple a annoncé en juillet le programme "bug bounty", qui récompensera dès le mois de septembre les personnes découvrant des failles de sécurité. Les hackers les découvrant et les communicant à Apple pourront alors gagner entre 25.000 et 200.000 dollars, selon la gravité des vulnérabilités.