Le jailbreaking a toujours été perçu comme le jeu du chat et de la souris entre Apple et les développeurs. Ces derniers découvriront une vulnérabilité critique qui leur donne un accès privilégié au système d’exploitation, et Apple comblera plus tard cette faille de sécurité, rendant ainsi la méthode de jailbreaking inefficace. Cela a été répété à maintes reprises au point qu’il est devenu de plus en plus difficile et rare de découvrir et d’utiliser de tels exploits.
La sortie d’iOS 12.4 en juillet dernier est venue avec un certain nombre de petites corrections et améliorations, mais l’une d’elles n’était pas l’intention d’Apple : la mise à jour a également réintroduit par inadvertance une faille de sécurité facilitant le jailbreaking pour les iPhone.
Apple a publié un nouveau correctif d’urgence — iOS 12.4.1 — en réponse à la faille laissant place au jailbreaking, qui offre également aux hackers un accès plus libre aux comptes des utilisateurs d’iPhone. Pour rappel, un iPhone ou iPad jailbreaké est modifié pour permettre à l’utilisateur (ou à des tiers) d’installer des applications non approuvées par Apple sans passer par l’App Store, et de modifier les périphériques de différentes manières qui ne sont généralement pas autorisées par le système d’exploitation.
Le bug avait initialement été détecté par Ned Williamson en collaboration avec le Project Zero de Google, qui a été remercié dans les notes de publication d’Apple pour iOS 12.4.1 pour avoir découvert qu’une application malveillante peut être capable d’exécuter du code arbitraire avec des privilèges système.
Indispensable
La firme remercie également dans les notes un chercheur en sécurité qui porte le pseudonyme de Pwn20wnd, et qui est responsable du développement et de la publication d’un jailbreak fonctionnel pour iOS 12.4. En évoquant le sujet avec Motherboard la semaine dernière, Pwn20wnd a déclaré « qu’il est fort probable que quelqu’un exploite déjà ce bug à de mauvaises fins ».
Si vous êtes un utilisateur régulier, qui n’enfreint pas les règles de jailbreaking et que votre appareil n’a pas été mis à jour vers iOS 12.4.1, je vous conseille fortement de la faire, car il est aisé de glisser du code malveillant dans les applications pendant qu’un jailbreak public est disponible.
Bien sûr, le cycle se poursuit, la balle est maintenant dans le camp des chercheurs et des développeurs en matière de sécurité.
