Comme d’habitude, les correctifs d’Apple sont arrivés discrètement, étant donné que l’entreprise considère que ces derniers seront beaucoup mieux gérés s’ils sont publiés tout simplement lorsqu’ils sont prêts, plutôt que s’ils suivent un calendrier strict et défini à l’avance.
Cependant, tout le monde n’est pas d’accord, en effet Microsoft continue de suivre son processus de Patch Tuesday depuis de nombreuses années maintenant (à savoir que les mises à jour arrivent le deuxième mardi de chaque mois), et Firefox a son propre calendrier Fortytwosday (les mises à jour majeures arrivent tous les 42 jours, soit toutes les six semaines, et sont publiées systématiquement les mardis).
Mais la théorie d’Apple semble être que les mises à jour de sécurité soient entrées dans la catégorie du “moins on en dit, mieux on se protège“, en insistant sur la discrétion du déploiement des correctifs de sécurité.
Qu’une mise à jour de sécurité soit publiée selon un calendrier ou de manière soudaine, nous savons que les chercheurs et les cybercriminels se dépêcheront de toutes les façons pour appliquer une sorte d’ingénierie inverse aux correctifs, en utilisant les différences entre les anciens et les nouveaux fichiers de programme pour comprendre en détail les erreurs corrigées.
Le Patch Tuesday de Microsoft pour le mois de janvier 2020, par exemple, a corrigé un bug dans la vérification des certificats de Windows 10, qu’un cybercriminel aurait pu utiliser pour prendre l’identité numérique du site web d’un tiers, ou prétendre être un éditeur de logiciels réputé. En une journée environ, les experts en sécurité ont publiquement fait la démonstration de leurs compétences en ingénierie inverse en publiant des outils vous permettant d’exploiter la soi-disant faille CryptoApi
ou crypt33
, sans qu’aucune compétence particulière ne soit requise.
Les correctifs
Il existe beaucoup de failles critiques corrigées dans nouvelle cette série de mises à jour de sécurité Apple : nous vous conseillons donc vivement de l’installer immédiatement, avant que quiconque ne trouve un moyen d’utiliser ces failles de sécurité nouvellement documentées pour le plaisir ou le profit.
En particulier, iOS 13 et les trois versions les plus récentes de macOS reçoivent des correctifs pour plusieurs problèmes de sécurité au niveau du noyau (les versions macOS concernées sont 10.13, 10.14 et 10.15, mieux connues sous les noms de High Sierra, Mojave et Catalina).
Cinq bugs au niveau du noyau sont répertoriés pour iOS (et iPadOS) et macOS, désignés comme suit :
- Une application pourrait lire la mémoire restreinte. Ce type de bug signifie qu’une application standard, qui ne serait normalement même pas capable de lire des données à partir d’autres applications, pourrait être en mesure de récupérer des données censées rester secrètes au niveau du système, tels que des données temporaires déchiffrées, des identifiants uniques pour l’actuel utilisateur ou appareil, ou des données privées concernant les activités d’autres logiciels.
- Une application malveillante pourrait exécuter du code arbitraire avec des privilèges système. RCE, abréviation d’exécution de code à distance, est une sorte de Saint Graal pour les pirates, car il leur permet de forcer votre appareil à installer un programme malveillant de leur choix. Il se peut que vous ne détectiez aucune sorte d’avertissement ou de signe précurseur d’une telle tentative, RCE signifie généralement que les cybercriminels peuvent contourner à la fois l’App Store et les propres protections de sécurité du système d’exploitation.
- Une application malveillante pourrait déterminer la disposition de la mémoire du noyau. De nombreux bugs RCE ont besoin qu’un attaquant non seulement injecte du code dans la mémoire, mais puisse aussi prédire exactement où ce dernier finira sa course. IOS et macOS utilisent donc l’ASLR, abréviation d’Address Space Layout Randomisation (randomisation de la disposition de l’espace d’adressage), pour rendre les adresses mémoire difficiles à deviner. Ainsi, un bug de divulgation de la disposition de la mémoire combiné à un RCE peut transformer une attaque du type “votre tentative pourrait fonctionner si vous avez de la chance” en un exploit du type “votre tentative fonctionnera à chaque fois“.
iOS 12 reçoit des correctifs discrets
Fait intéressant, iOS 12, qui est toujours pris en charge pour les anciens iPhones tels que les 6 et 6+ qui ne peuvent pas exécuter iOS 13, reçoivent également une mise à jour.
Mais la nouvelle version, iOS 12.4.5, n’a pas été annoncée via le service de mailing des Avis de Sécurité d’Apple, qui nous a déroutés jusqu’à ce que nous vérifiions la page web globale des mises à jour de sécurité Apple, où la mise à jour a été officiellement répertoriée mais minimisée d’un point de vue de la sécurité :
iOS 12.4.5 : cette mise à jour ne contient aucune CVE publiée.
NB : iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 et iPod touch 6e génération, 28 janvier 2020.
CVE, abréviation de Common Vulnerabilities and Exposures, est un système, sponsorisé par le gouvernement américain, qui attribue des identificateurs numériques uniques aux bugs qui sont considérés comme des “vulnérabilités de cybersécurité connues du public”.
Nous ne pouvons pas vous dire si cela signifie que le nouvel iOS 12 ne contient que des correctifs mineurs ou peu importants, ou bien s’il corrige des failles sérieuses qui n’ont tout simplement pas encore reçu de numéros CVE. Ainsi nous vous recommandons donc, pour des raisons de sécurité évidentes, d’installer cette mise à jour.
Nous venons de l’installer, elle a été rapide à télécharger et n’a pas été longue à installer, sans aucun problème apparent.
Changement du suivi de localisation pour l’iPhone 11
Un changement digne d’intérêt qui est arrivé avec iOS 13.3.1, mais qu’Apple n’a pas compté comme un correctif de sécurité, a été répertorié sur la page générale d’Apple ‘À propos des mises à jour d’iOS 13′.
Vous vous souvenez peut-être du tollé, déclenché en décembre 2019, lorsque le célèbre journaliste de cybersécurité Brian Krebs a demandé ouvertement pourquoi son iPhone 11 affichait parfois l’icône “d’accès aux données de localisation” même s’il avait le suivi de localisation désactivé au niveau de chaque application et de tous les services système.
Apple a précisé plus tard que la seule façon de désactiver complètement le suivi de localisation était de le désactiver avec le bouton principal “Service de localisation”.
En d’autres termes, les boutons individuels des “services système” pour les parties du système d’exploitation liées à la localisation ne couvraient pas nécessairement toutes les fonctionnalités du noyau, et comprenait une nouvelle fonctionnalité de transfert de données à haute vitesse ajoutée dans l’iPhone 11 connu sous le nom UWB, abréviation d’Ultra Wideband.
Comme nous l’avons expliqué à l’époque :
Quelques pays ont réglementé [l’utilisation de l’UWB], apparemment de peur qu’elle ne perturbe les communications radio existantes, et Apple a donc ajouté un logiciel système [dans l’iPhone 11] qui utilise vos données de localisation, tant que le bouton de localisation principal est activé, pour désactiver UWB automatiquement selon les besoins.
Le mystère est résolu !
Eh bien, Apple a maintenant fourni un nouveau bouton de services système qui “ajoute un paramètre pour contrôler l’utilisation des services de localisation par la puce U1 Ultra Wideband”.
Vous pouvez trouver ce nouveau bouton dans Réglages > Confidentialité > Services de localisation > Services système :
Le nouveau bouton pour contrôler la recherche d’emplacement UWB est affiché à droite
Notez que pour accéder à la liste des services système, vous devez d’abord activer les services de localisation, sinon tous les boutons d’activation par application et par service seront supprimés de l’écran.
NB : Nous aurions préféré que ce ne soit pas le cas et que vous puissiez vérifier vos paramètres de localisation par application avant d’activer les services de localisation en premier lieu, mais Apple ne l’entend pas de cette oreille.
Quoi faire ?
Pour vérifier que vous êtes à jour :
- Sur un iPhone ou un iPad, accédez à Réglages> Général> Mise à jour logicielle.
- Sur un Mac, allez dans le menu Apple, choisissez À propos de ce Mac et cliquez sur Mise à jour de logiciels…
Si votre appareil a déjà été mis à jour automatiquement, l’écran de mise à jour vous le dira; sinon, il vous informera de la disponibilité d’une mise à jour et vous proposera de l’installer pour vous.
Billet inspiré de Apple patches critical bugs on iPhone and Mac – update now!, sur Sophos nakedsecurity.