Le programme espion Pegasus, commercialisé par l’entreprise israélienne NSO Group, a récemment refait parler de lui. En effet, le laboratoire de recherche canadien Citizen Lab a détecté la semaine dernière la présence de ce logiciel malveillant sur l’iPhone d’un employé d’une organisation de la société civile située à Washington D.C. L’infection est d’autant plus préoccupante qu’elle exploite une nouvelle vulnérabilité dite « zéro-clic » nommée Blastpass, présente dans la version 16.6 du système d’exploitation iOS. Autrement dit, l’infection ne nécessite aucune interaction de la part de la victime.
Une mise à jour pour iPhone, iPad, Mac et Apple Watch
Deux failles de sécurité ont été identifiées en collaboration avec Apple, appelées CVE-2023-41064 et CVE-2023-41061. La première concerne un débordement de mémoire tampon au niveau du composant Image I/O, permettant l’exécution de code arbitraire à l’aide d’une simple image. La seconde faille, située dans l’application Wallet, autorise également l’exécution de code arbitraire grâce à une pièce jointe PassKit. La victime a été infectée en recevant simplement des pièces jointes via iMessage, sans aucune interaction de sa part.
En réponse à cette découverte, Apple a rapidement publié la mise à jour 16.6.1 pour iOS et iPadOS, ainsi que les mises à jour macOS Ventura 13.5.2 et watchOS 9.6.2. La société a également précisé que le mode Isolement (Lockdown) permet de bloquer cette attaque.