Une vulnérabilité de l'app Messages a été colmatée par Apple. Cette faille touchait tout spécialement la messagerie sur OS X, mais en activant la fonction de transfert de SMS sur iPhone (Réglages > Messages), elle pouvait également frapper iOS.
Un pirate pouvait récupérer l'historique des conversations de l'utilisateur, ainsi que les fichiers envoyés par MMS. Il lui suffisait d'envoyer un lien à la victime qui, dès qu'elle tapotait dessus, autorisait l'exécution du code Javascript habilement caché derrière ledit lien ; ce code siphonne les données de Messages. La société de sécurité informatique Bishop Fox décrit le processus.
Les trois chercheurs à l'origine de cette découverte — Joe DeMesy, Shubham Shah et Matt Bryant — avaient déclaré cette faille à Apple, qui a donc pu s'en prémunir, avant de la rendre publique. Qu'on se rassure, cette vulnérabilité n'a pas été exploitée avant le correctif mis au point par la Pomme.
Apple détaille la faille (numérotée CVE-2016-1764) dans sa liste des correctifs d'OS X 10.11.4 (des correctifs qui ont aussi été fournis dans la mise à jour de sécurité 2016-002). Pour éviter les problèmes de manière générale, mieux vaut ne pas cliquer sur les liens envoyés par des inconnus.
Source :
