Lundi, Apple a publié des correctifs de sécurité pour iOS 14.8, iPadOS 14.8, watchOS 7.6.2 et macOS Big Sur 11.6.
macOS Catalina 10.15 et Mojave 10.14 ont reçu un correctif pour Safari.
Il est fortement recommandé d’installer les correctifs immédiatement, car au moins l’une des vulnérabilités, « FORCEDENTRY », référence CVE-2021-30860, est une vulnérabilité jour zéro activement exploitée par des criminels, et des États qui l’utilisent pour espionner des activistes, militants, et autres cibles spécifiques.
La vulnérabilité jour zéro fut découverte par Citizen Lab, qui en informa Apple le 7 septembre. Citizen Lab avait déjà mis en évidence des vulnérabilités jour zéro contre les produits Apple, développés par l’entreprise israélienne NSO Group dans le logiciel d’espionnage PEGASUS.
Et là encore, il s’agit à nouveau d’un exploit du NSO Group : il suffit d’envoyer un message malveillant à une victime par iMessage. Cette dernière n’a rien à faire : la vulnérabilité s’active automatiquement…
D’après le Citizen Lab, cette vulnérabilité a été exploitée, notamment par l’Arabie saoudite, depuis au moins février 2021.
Officiellement, le NSO Group est une entreprise intègre qui choisit ses clients. Et officiellement, elle doit obtenir une licence d’exportation du gouvernement israélien avant de vendre ses vulnérabilités à l’étranger.
Une fois de plus, cette dernière découverte prouve qu’il n’en est rien, et que l’appât du gain l’emporte sur toute autre considération.