Trois jours après le rapport sur l'attaque Masque, Apple répond et minimise la menace

Table des matières

• Trois jours après le rapport sur l’attaque Masque, Apple répond
• Menace minimisée par Apple
• Flaw précédente

Trois jours après le rapport sur l’attaque Masque, Apple répond

Plus tôt cette semaine, la société de cybersécurité FireEye a averti qu’elle avait identifié une vulnérabilité dans le système d’exploitation mobile d’Apple qui pourrait permettre aux pirates d’utiliser des pages Web, des messages texte et des e-mails pour tromper les utilisateurs afin qu’ils téléchargent de fausses applications pouvant divulguer leurs informations personnelles. Dans une menace qualifiée d’« attaque Masque » par FireEye, de fausses applications conçues pour ressembler à un programme bancaire ou de messagerie légitime pourraient remplacer des applications authentiques installées via l’App Store d’Apple et siphonner les informations personnelles des utilisateurs vers les pirates à leur insu.

Menace minimisée par Apple

Apple, dans une déclaration officielle, a minimisé cette faille très sérieuse, ce qui a amené les utilisateurs à douter des affirmations de sécurité supérieures d’Apple. « Nous avons conçu OS X et iOS avec des mesures de sécurité intégrées pour aider à protéger les clients et les avertir avant d’installer des logiciels potentiellement malveillants », a déclaré un représentant d’Apple, ajoutant que la société n’était pas au courant que ses clients étaient réellement victimes d’une telle attaque. « Nous encourageons les clients à ne télécharger que depuis des sources fiables comme l’App Store et à prêter attention à tout avertissement lors du téléchargement d’applications. Les utilisateurs d’entreprise installant des applications personnalisées devraient installer des applications depuis le site Web sécurisé de leur entreprise. »

Bien qu’il n’y ait pas encore eu de rapports confirmés d’attaques utilisant cette vulnérabilité, les chercheurs de FireEye affirment que le bug a été introduit dans iOS7. Ce qui laisse tous les appareils fonctionnant avec cette version d’iOS ou supérieure à risque. Cela représente 95 % de tous les iPhones et iPads sous risque. Ce bug ne nécessite également pas que l’appareil soit jailbreaké.

Flaw précédente

C’est la deuxième fois que les produits Apple tombent victimes d’une faille de sécurité. La semaine dernière, la société de sécurité Palo Alto Networks a décrit une nouvelle attaque qu’elle a découverte, qui pourrait permettre à des applications non approuvées téléchargées sur Internet d’infecter les iPhones lorsqu’ils sont branchés sur des ordinateurs Mac. L’attaque, appelée « WireLurker », a été reconnue pour la première fois en Chine et est basée sur la même vulnérabilité que FireEye a divulguée lundi. Ces nouvelles failles de sécurité ont beaucoup terni la crédibilité d’Apple dans le paradigme de la sécurité.