Apple a révélé le 17 août avoir corrigé deux failles importantes touchant les systèmes d’exploitation de l’iPhone, l’iPad et Mac. Une annonce qui n’a rien d’exceptionnel en soi, cela arrive quotidiennement à de nombreuses entreprises du numérique, mais qui inquiète vu les risques que représentent ces failles.

Les produits d’Apple sous le risque de l’emprise

Répondant aux doux noms de CVE-2022-32893 et CVE-2022-32894, les deux failles ont été repérées par des chercheurs anonymes qui l’ont manifestement transmis à Apple. Cupertino a publié des correctifs, MacOS Monterey 12.5.1 pour les Mac, iOS 15.6.1 pour iPad et iPhone, tous les utilisateurs concernés sont incités à mettre rapidement à jour leurs appareils.

La première des deux failles touchait Webkit, une composante essentielle du navigateur maison, Safari. Elle permettait à des pirates d’exécuter un code à l’insu du propriétaire de l’appareil. Cela nécessite que l’utilisateur se rende sur un site Web malveillant.

La seconde est celle qui fait froid dans le dos. Elle affectait Kernel, le noyau des systèmes d’exploitation. Elle permettait d’obtenir le niveau de privilège le plus élevé d’un appareil. En clair, exploitée par des pirates, elle leur donnait un contrôle total sur le Mac, l’iPad ou l’iPhone visé.

Apple a admis que ces failles ont pu et peuvent toujours être exploitées sans applications du correctif. Aucun détail n’a été fourni sur cette question par la marque à la pomme. L’entreprise assume de prendre son temps avant de rendre publique l’existence de tels problèmes, « Pour la protection de ses clients, Apple ne divulgue pas, ne discute pas et ne confirme pas les problèmes de sécurité tant qu'une enquête n'a pas été menée et que les correctifs ou les versions ne sont pas disponibles ».

La gravité de l’événement doit être largement relativisée

Si cette révélation a pu créer une appréhension légitime auprès des propriétaires de produits Apple, la possibilité d’une exploitation de masse par des pirates est peu probable. Elles sont généralement utilisées dans des opérations cyber très ciblées.

Ce type de failles, avant d’être repérées, sont appelées « zéro-day ». Cela signifie qu’aucun chercheur en cybersécurité ni l’entreprise à l’origine du logiciel n’en ont connaissance ou n’y a pas apposé de correctif. Elles sont particulièrement prisées par toute sorte d’acteurs, cybercriminelles, mais aussi États ou entreprise privée type NSO Group, à l’origine de Pegasus.

L’existence de telles faiblesses dans le logiciel d’une entreprise tel qu’Apple n’est pas rare. Bleeping Computer rapporte qu’en 2022, Apple en a corrigé sept, d’importance et de gravité variable. Cela fait partie des problématiques auxquels sont confrontées toutes les sociétés du numérique, d’où l’importance de correctement mettre à jour ses appareils.