Le Projet Zéro de Google a pour mission de détecter les failles présentes sur Internet. Il y a quelques jours, Ian Beer et ses équipes ont publié un rapport faisant état d’une attaque majeure pour les personnes possédant un iPhone. Certains sites web malveillants pouvaient accéder très facilement à l’intégralité de l’appareil. Le problème aurait été résolu en février dernier.

Un implant de surveillance installé sur l’iPhone

Cette faille n’avait jamais été divulguée auparavant. Ian Beer, chercheur en sécurité au Projet Zéro de Google précise que : « il suffisait de visiter le site piraté pour que le serveur d’exploitation attaque votre iPhone. Le site web malveillant était ensuite capable d’installer un code permettant surveillance du smartphone de l’internaute. Cette faille a existé au moins pendant 2 ans ».

Vraisemblablement, Safari était le navigateur web le plus vulnérable. L’attaque permettait au hacker d’obtenir l’accès « root » de l’iPhone. Il s’agit du plus haut niveau d’accès et de sécurité sur un iPhone. Concrètement, cela signifie que le pirate pouvait avoir accès à l’intégralité de l’appareil. Il pouvait notamment installer une application malveillante sur l’iPhone, pour espionner son propriétaire à son insu, ou sans son consentement.

Une cyberattaque pour obtenir les mots de passe

Le rapport laisse penser que cette attaque aurait permis aux pirates de voler des photos, des messages et de suivre les déplacements des victimes en temps réel. Cette faille était extrêmement dangereuse car elle permettait aux hackers d’accéder aux mots de passe enregistrés sur l’appareil de l’utilisateur. Par exemple, si le mot de passe de l’application bancaire était enregistré sur l’iPhone, l’assaillant pouvait y avoir accès.

En février dernier, Google alertait secrètement Apple à propos de cette faille. L’entreprise de Tim Cook n’a eu qu’une semaine pour tenter d’y remédier. Six jours plus tard, Apple publiait une nouvelle mise à jour… D’après les chercheurs du Projet Zéro de Google, d’autres piratages sont peut être en cours. Au début du mois d’août, Apple annonçait le lancement d’un programme de bug bounty. La société va officiellement faire appel aux hackers du monde entier pour repérer les vulnérabilités sur ses appareils.