iOS 14.8 macOS 11.6 : des correctifs contre la faille Pegasus
MAJ APPLE. À la surprise générale, Appie vient de publier des mises à jour de ses systèmes d'exploitation macOS, iOS, iPadOS et même watchOS. Ces versions à installer sans attendre corrigent des failles de sécurité critiques, liées notamment à Pegasus.
À quelques heures de sa grande conférence de rentrée (la fameuse keynote) au cours de laquelle seront présentées plusieurs nouveautés importantes (en particulier l'iPhone 13), Apple vient de publier des mises à jour de ses différents systèmes d'exploitation, à savoir macOS 11.6 pour le Mac, iOS 14.8 pour les iPhone, iPadOS 14.8 pour les iPad et watchOS 7.6.2 pour les montres connectées Watch Series. Des mises à jour assez surprenantes dans la mesure où de nouvelles versions majeures sont attendues prochainement, dans la foulée de la keynote, avec l'arrivée attendue d'iOS 15 (voir notre article spécial iOS 15 : version finale, mise à jour, nouveautés, compatibilité, date de sortie) et de son pendant, iPadOS 15 pour les mobiles, et de macOS Monterey (qui sera probablement baptisé macOS 12) pour les ordinateurs. La raison de ce déploiement surprise ? Un problème grave de sécurité.
Une faille exploitée par le logiciel espion Pegasus ?
De fait, les nouvelles versions n'apportent aucune nouveauté fonctionnelle. Comme Apple le mentionne pudiquement, sans donner de détail, ces mises à jour visent à corriger des failles critiques des systèmes. Et, en particulier, une faille qui, selon les chercheurs en sécurité de Citizen Lab, aurait été déjà exploitée par des agences gouvernementales pour espionner les téléphones de diverses personnalités (journalistes, militants, responsables politiques, avocats, etc.). Les experts font évidemment allusion à la fameuse affaire Pegasus qui a défrayé la chronique il y a quelques mois, lors de laquelle on a découvert que des failles de sécurité permettaient une installation "zéro clic" – c'est-à-dire sans nécessiter la moindre intervention de la victime – du logiciel espion Pegasus de la société NSO Group, capable de récupérer des données personnelles (messages, mots de passe, etc.) mais aussi d'activer le micro ou la caméra d'un téléphone à l'insu de son utilisateur.
En août dernier, Citizen Lab signalait que la vulnérabilité avait déjà été utilisée avec succès sur des iPhone fonctionnant sous iOS 14.6. Selon les chercheurs, cet "exploit" aurait été rendu possible par un bogue dans le système CoreGraphics d'Apple qui se produisait lorsque le smartphone tentait d'utiliser une fonction liée aux GIF après avoir reçu un message de texte contenant un fichier infecté. Après analyse, ils semblerait que les fichiers soient en fait des PDF et des PDF. Quoi qu'il en soit, les experts de Citizen Lab ont envoyé les résultats de leurs recherches à Apple début septembre, et il n'aura fallu que quelques jours pour que la marque à la pomme colmate la brèche.
Comment appliquer les mises à jour macOS 11.6, iOS 14.8, iPadOS 14.8 et watchOS 7.6.2 ?
Mais qu'importent les explications techniques et les dessous de l'affaire. Apple a confirmé que la vulnérabilité découverte, estampillée CVE 2021-30860, affecte un grand nombre de ses produits (plus exactement tous les iPhone avec des versions d'iOS antérieures à 14.8, tous les Mac avec des versions de macOS antérieures à Big Sur 11.6, toutes les Apple Watch avec un système antérieur à watchOS 7.6.2 ainsi que tous les modèles d'iPad Pro, l'iPad Air 2 et suivant, l'iPad de 5e génération et les suivants, l'iPad mini 4 et les suivants, et même l'iPod touch de 7e génération). Il est donc fortement conseillé, pour ne pas dire indispensable d'appliquer sans attendre les correctifs développés par Apple. Certes, Pegasus ne semble viser que des cibles choisies, mais mieux vaut éviter tout risque d'espionnage car la vulnérabilité pourrait être exploitée par d'autres pirates. D'autant que les mises à jour sont déjà disponibles, tant pour macOS que pour iOS, iPadOS et watchOS et qu'elles sont faciles à installer !
- Sur Mac, déroulez le menu Pomme, ouvrez les Préférences système, allez ensuite dans Mise à jour logiciels et cliquez enfin sur Mettre à niveau maintenant. Patientez pendant l'installation et le redémarrage du Mac.
- Sur iPhone ou iPad, si une notification indique qu'une mise à jour est disponible, vérifiez que votre mobile est chargé au moins à 50 % et appuyez sur Installer pour procéder à la mise à jour immédiatement, de préférence en Wi-Fi. Vous pouvez également appuyer sur Plus tard, puis choisir Installer ce soir ou Me le rappeler plus tard. Pensez simplement à brancher votre appareil à une source d'alimentation avant d'aller vous coucher. La mise à jour s'effectuera automatiquement pendant la nuit. Si vous ne voyez pas de message de notification, ouvrez les réglages de votre mobile et allez dans Général puis dans Mise à jour logicielle.
Pour mettre à jour votre Apple Watch, il faut passer par un iPhone en s'assurant d'abord qu'il est connecté au Wi-Fi et chargé au moins à 50 %. La montre doit être en charge sur son support. Ouvrez l'application Watch sur l'iPhone, puis allez dans Général et dans Mise à jour logicielle. La mise à jour doit être disponible – patientez jusqu'à ce qu'elle apparaisse si ce n'est pas le cas. Ensuite, appuyez sur Télécharger puis sur Installer une fois le téléchargement terminé. Tapez ensuite le mot de passe de l'iPhone, acceptez les conditions générales, puis validez en appuyant une dernière fois sur Installer pour procéder effectivement à l'installation.