Apple corrige deux failles zero-day exploitées par Pegasus
![Image [La Cnil et l’IA :] comprendre, accompagner et contrôler](https://incyber.org//wp-content/uploads/2024/03/incyber-news-cybersecurity-persona-885x690.jpg)
![Image [Offensive russe] sur la « souveraineté numérique » en Afrique](https://incyber.org//wp-content/uploads/2024/03/adobestock-749446930-885x690.jpeg)
![Image Un site du [gouvernement français] visé par des nationalistes turcs](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-pays-countries-attack-2024-885x690.jpg)
![Image Le groupe pro-russe APT29 cible des [élus allemands du CDU]](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-group-people-2024-885x690.jpg)
Elles permettent de prendre secrètement le contrôle d’un iPhone.
Apple a publié, le 7 septembre 2023, une mise à jour de sécurité corrigeant deux failles zero-day et zero-click de la dernière version d’iOS (16.6). Selon le Citizen Lab de l’Université de Toronto, ces vulnérabilités peuvent permettre à des logiciels espions, comme Pegasus, de prendre secrètement le contrôle d’un iPhone sans laisser le moindre indice de compromission.
Les chercheurs en cybersécurité ont d’ailleurs découvert ces deux failles en analysant un iPhone que Pegasus avait infecté en exploitant ces vulnérabilités. Le Citizen Lab a déclaré qu’il avait « immédiatement communiqué ses conclusions à Apple et l’avait aidé dans son enquête ».
Les chercheurs précisent que le mode « Lockdown », un protocole de protection extrême déployé sur iOS fin 2022, permettait de résister à l’exploitation de ces vulnérabilités. Apple a indiqué être « au courant d’un rapport indiquant que ce problème pourrait avoir été activement exploité », sans faire d’autre commentaire.