Bien que la nouvelle mise à jour iOS 15.6.1 ne soit pas aussi critique que les médias le laissent entendre, vous devez tout de même l’installer.

La récente version iOS 15.6.1 d’Apple comprend deux mises à jour de sécurité notables pour des problèmes qui pourraient mettre votre téléphone en danger. Mais sa sortie est devenue grand public, et certains rapports ont provoqué une panique inutile chez des personnes qui ne prêtent habituellement pas attention à ces choses.

« J’ai également été surpris de la façon dont les médias ont repris cette mise à jour particulière, alors que les mises à jour de sécurité de ce type se produisent tous les deux mois », a déclaré par courriel Marc-Étienne Léveillé, chercheur en logiciels malveillants à la société de sécurité numérique ESET. « Elle a également été reprise par les médias locaux ici [au Canada] ».

Comment résoudre l’erreur de chargement de contenu dans iOS 15

Quel est l’enjeu ?

Avec la publication d’iOS 15.6.1, Apple traite deux problèmes spécifiques, selon les notes de mise à jour de sécurité – l’un lié à WebKit, l’autre au noyau. Les deux sont importants pour des raisons similaires.

Webkit est le moteur du navigateur web utilisé par Safari et tous les autres navigateurs de l’iPhone, et c’est un composant important de tous les iPhone utilisés dans le monde. Dans les notes de mise à jour, Apple a indiqué que « le traitement de contenu web malveillant peut entraîner l’exécution de code arbitraire », ce qui signifie qu’un acteur malveillant pourrait utiliser un site web pour exécuter un logiciel sur votre iPhone à votre insu. Ce logiciel pourrait voler vos données personnelles ou pire encore.

Heureusement, pour la grande majorité des utilisateurs, il est très peu probable qu’ils soient affectés par une faille de sécurité logicielle.

De même, l’exploitation du noyau permet à de mauvais acteurs d’exécuter des logiciels avec une élévation de privilèges. Le noyau est la partie d’iOS qui se charge en premier lorsque vous allumez votre iPhone, et c’est un élément vital du système d’exploitation. En permettant à un code arbitraire de s’exécuter avec les privilèges du noyau, cette faille de sécurité pourrait donner à quelqu’un un accès complet à toutes les fonctions et données de votre appareil.

Apple a confirmé qu’elle « est au courant d’un rapport selon lequel ce problème pourrait avoir été activement exploité ». Cette partie a beaucoup de gens inquiets, peut-être à juste titre. Mais, comme toujours, il y a des nuances dans cette situation.

Un contexte vital

Le piratage des iPhones est une activité importante, et des sociétés telles que NSO Group vendent des outils d’espionnage comme Pegasus dans ce but précis. Pegasus a été utilisé pour espionner des fonctionnaires et des journalistes ces dernières années, en utilisant des failles de sécurité comme celles qui ont été corrigées dans la version 15.6.1 d’iOS.

L’expert en sécurité Léveillé reconnaît que les failles corrigées par Apple sont peu susceptibles d’être utilisées à grande échelle. Il ajoute que « le code d’exploitation permettant d’utiliser les vulnérabilités n’est pas connu du public, de sorte que seul un nombre très limité de personnes ou d’organisations peuvent les utiliser. Étant donné la rareté et le prix de ces exploits, ils ne sont généralement pas utilisés pour compromettre massivement les appareils Apple. » Il poursuit en disant que vous pouvez mettre à jour votre iPhone à votre rythme, « sauf si vous pensez être une cible pour un logiciel espion comme Pegasus. »

Léveillé n’est pas le seul expert à adopter cette approche. Dans une interview par courriel, Ben Wood, analyste en chef chez CCS Insight, a déclaré : « Heureusement, pour la grande majorité des utilisateurs, il est très peu probable qu’ils soient affectés par une faille de sécurité logicielle. » Il a ajouté que « comme pour tous les logiciels, le meilleur plan d’action est que les consommateurs maintiennent leurs logiciels à jour sur tous les appareils. »

Malheureusement, ce n’est pas le message que les gens entendent. Les médias grand public ont repris l’histoire et se sont vraiment concentrés sur l’avertissement selon lequel il est « urgent » que tout le monde mette à jour. En conséquence, les gens ont l’impression de se promener avec une bombe à retardement, même si ce n’est pas le cas.

Apple prend la sécurité au sérieux, allant jusqu’à poursuivre NSO Group en justice, et dispose de fonctionnalités spécifiquement conçues pour aider les personnes qui pensent être une cible pour ses logiciels.

« Si votre appareil contient des informations très sensibles ou si vous pensez être une cible potentielle pour un logiciel espion comme Pegasus, j’envisagerais de mettre à jour vers iOS 16 lorsqu’il sera disponible et d’activer le mode verrouillage », a suggéré M. Léveillé.