Un chercheur en cybersécurité a découvert une faille zero-day sur les webcams d’Apple qui permettait à des personnes malveillantes d’activer les caméras à distance sans l’autorisation de l’utilisateur. La vulnérabilité concerne les appareils iPhone et macOS et a été découverte fin 2019, depuis laquelle Apple a déployé un correctif.
La faille a été découverte par le chercheur Ryan Pickren, qui a créé un site web malveillant qui a été affiché dans Safari, le navigateur d’Apple. Le site se faisait passer pour une plateforme ayant déjà obtenu les autorisations nécessaires pour accéder à la caméra et au micro de l’appareil de l’utilisateur, ce qui signifie que l’utilisateur n’a pas été informé de l’activation de la caméra.
La méthode pour exploiter cette faille se déroulait en huit étapes et fonctionnait aussi bien sur iOS que sur macOS. La personne malveillante n’avait qu’à envoyer le lien malveillant à la victime et attendre qu’elle clique dessus. Selon Pickren, cette faille était « critique » car elle permettait à un attaquant de prendre des photos, d’activer le microphone ou de partager l’écran de l’utilisateur sans son consentement.
Apple a été informé de cette faille fin 2019 et a déployé un correctif en janvier et mars. En récompense de sa découverte, Pickren a reçu 75 000 dollars dans le cadre du programme de bug bounty d’Apple.
Bien que la vulnérabilité ait été corrigée, cette découverte montre que même les entreprises reconnues pour leur sécurité peuvent être confrontées à des failles importantes. Il est donc important pour les utilisateurs de rester vigilant et de maintenir leurs appareils à jour avec les derniers correctifs de sécurité.
