Création : @smoytoo for @servicesmobiles
Ces dernières années ont confirmé qu’aucune organisation n’est à l’abri de la menace d’une cyberattaque. Chaque entreprise doit être consciente du paysage dynamique de la cybersécurité et prendre des mesures pour parer aux vulnérabilités avant que les pirates n’aient la possibilité d’en profiter. Qu’en vous êtes Apple avec plus de 2 milliards de devices dans le monde, il est impératif de suivre cela de près !
Même si Apple fabrique les appareils mobiles les plus sécurisés du marché et investit constamment dans le renforcement des protections de confidentialité et de sécurité pour ses utilisateurs, les attaques existent. Celles-ci pourraient exploiter des vulnérabilités pour prendre le contrôle d’un appareil affecté. C’est ce qui s’est passé il y a quelques semaines. L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a déclaré qu’elle encourageait le déploiement de mises à jour Apple “dès que possible” pour une vulnérabilité affectant les iPhone, Mac et iPad.
Cette semaine, Apple a publié iOS 16.3.1, iPadOS 16.3.1 et macOS Ventura 13.2.1 en réponse à la découverte de la vulnérabilité Zero Day WebKit, portant la référence CVE-2023-23529. Dans ses notes sur cette vulnérabilité WebKit, Apple a déclaré qu’il était “au courant d’un rapport selon lequel ce problème pourrait avoir été activement exploité. La faille affecte les modèles d’iPhone aussi loin que l’iPhone 8, les Mac exécutant macOS Ventura et de nombreux modèles d’iPad. Cette faille a été découverte par un chercheur anonyme qui serait lié au Citizen Lab de la Munk School de l’Université de Toronto. Ce lab a été actif dans la découverte et la publication des vulnérabilités qui peuvent être utilisées dans les activités de surveillance, et est bien connu pour exposer les fabricants de logiciels espions tels que NSO Group.
Si vous possédez un appareil impacté, il est fortement recommandé de télécharger ces nouvelles mises à jour de sécurité et de les installer dès que possible.
Apple a déposé en 2021 une plainte contre NSO Group pour le tenir responsable de la surveillance et du ciblage des utilisateurs d’Apple. La plainte fournissait de nouvelles informations sur la façon dont les appareils du groupe NSO ont infecté les appareils avec son logiciel espion Pegasus. Pour éviter de nouveaux abus et dommages à ses utilisateurs, Apple cherchait une injonction permanente pour interdire au groupe NSO d’utiliser tout logiciel, service ou appareil Apple.
Le groupe NSO crée une technologie de surveillance sophistiquée et parrainée par l’État qui permet à ses logiciels espions hautement ciblés de surveiller ses victimes. Ces attaques ne visent qu’un très petit nombre d’utilisateurs et ont un impact sur les personnes sur plusieurs plateformes, y compris iOS et Android. Des chercheurs et des journalistes ont publiquement documenté l’histoire de ces logiciels espions maltraités pour cibler des journalistes, des militants, des dissidents, des universitaires et des représentants du gouvernement.
En 2021, Apple avait annoncé un nouveau programme pour stimuler la cybersécurité tout au long de sa chaîne d’approvisionnement. Dans le cadre de ce programme, Apple travaille avec ses fournisseurs, dont plus de 9 000 aux États-Unis, pour stimuler l’adoption massive de l’authentification multifacteur, de la formation en sécurité, de la correction de la vulnérabilité, enregistrement des événements et des réponses aux incidents.
Apple a été le pionnier de l’utilisation du chiffrement de bout en bout dans les services de communication grand public avec le lancement d’iMessage, de sorte que les messages ne pouvaient être lus que par l’expéditeur et les destinataires. FaceTime utilise également le chiffrement depuis le lancement en fin d’année 2022 pour garder les conversations privées et sécuriser. Maintenant, avec iMessage Contact Key Verification, les utilisateurs qui font face à des menaces numériques extraordinaires, tels que les journalistes, les militants des droits de l’homme et les membres du gouvernement, peuvent choisir de vérifier davantage qu’ils ne traitent qu’avec les personnes qu’ils ont l’intention. La grande majorité des utilisateurs ne seront jamais ciblés par des cyberattaques hautement sophistiquées, mais la fonctionnalité offre une couche de sécurité supplémentaire importante pour ceux qui pourraient l’être.
Les conversations entre les utilisateurs qui ont activé iMessage Contact Key Verification reçoivent des alertes automatiques si un adversaire exceptionnellement avancé, comme un attaquant devait réussir à violer les serveurs cloud et à insérer leur propre appareil pour espionner ces communications cryptées. Et pour une sécurité encore plus élevée, les utilisateurs de la vérification des clés de contact iMessage peuvent comparer un code de vérification des contacts en personne, sur FaceTime ou via un autre appel sécurisé.