NOUVEAU : Antivirus AI Mac est disponibleDécouvre →
Français
Deutsch English Español Italiano Português Русский العربية हिन्दी 日本語 简体中文
Boutique
Particuliers
Ta vie privée.
Sans compromis.
Sécurité IA en temps réel pour Android, iPhone, Mac et Windows. Certifiée par des organismes indépendants et plusieurs fois primée.
Découvre nos produits
AndroidAndroid
Anti Spy newfree
Détecte et bloque les spywares
Antivirus AI newfree
Protection IA en temps réel
Firewall AI free
Contrôle l’accès réseau
Camera Guard free
Surveille la caméra en temps réel
Micro Guard free
Protège le micro contre l’espionnage
iShredder newfree
Efface les données définitivement
iOSiOS
iShredder iOS new
Efface photos et fichiers en toute sécurité
MacMac
Antivirus AI Mac free
Protection antivirus pour macOS
Camera Guard Mac
Surveille la caméra en temps réel
iShredder Mac
Suppression certifiée des fichiers
iShredder iOS
Fonctionne aussi sur les Mac Apple Silicon
iLocker Mac
Chiffre et verrouille les apps
WindowsWindows
iShredder Windows
Effacement certifié des données
iShredder Server
Pour serveurs et équipes IT
iShredder Technical
23 normes d’effacement certifiées
Ta vie privée
Entreprises
La sécurité de
ton organisation.
Effacement certifié des données et sécurité pour PME, administrations et entreprises – 100 % conforme au RGPD.
Découvre nos solutions pro
Android & iOS
iShredder Business b2b
Efface plusieurs appareils en toute sécurité
iShredder Enterprise
Intégration MDM & certificats
Windows Server
iShredder Server b2b
Efface serveurs et RAID
iShredder Technical
Amorçable, 23 normes certifiées
Défense
Solutions défense
Solutions défense gov
Adopté par des administrations et des organisations de défense dans le monde
Ta vie privéeNos clients
À propos
Nous façonnons la sécurité
depuis 2004.
Nous protégeons la vie privée de plus de 8 millions de personnes dans le monde – avec indépendance, transparence et sans collecte superflue.
Notre histoire
Entreprise
Protectstar
Qui nous sommes et ce qui nous anime
Notre philosophie
La sécurité comme droit humain
Pourquoi Protectstar
Certifié et primé
Ta vie privée
Comment nous protégeons tes données
Environnement
Notre engagement pour la planète
Équipe & presse
Notre équipe
Les personnes derrière Protectstar
Message du fondateur
Vision et mission, de première main
Espace presse
Médias, logos & kit presse
Avis clients
Ce que disent nos utilisateurs
Technologie
Intelligence artificielle
Intelligence artificielle
Une IA embarquée détecte de nouvelles menaces en temps réel
iShredding
iShredding
23 normes d’effacement certifiées
Particuliers
Entreprises
À propos
FAQ & supportBlog
Langue / région
Boutique

Exploits iPhone sans clic : fonctionnement et conseils pour vous protéger contre ces attaques invisibles et sophistiquées.

Exploits iPhone sans clic : fonctionnement et conseils pour vous protéger contre ces attaques invisibles et sophistiquées.
03 Avril 2025

Les exploits « zero-click » sur l’iPhone comptent parmi les formes d’attaques numériques les plus dangereuses. Il suffit que des attaquants envoient un message ou un fichier préparé à votre appareil — sans aucun clic ni ouverture active requis. « Zero-click » signifie qu’aucune interaction utilisateur n’est nécessaire. Ces attaques sont extrêmement complexes et ciblent principalement des individus de haut profil tels que journalistes, activistes ou responsables gouvernementaux. Apple décrit ces attaques comme « extrêmement rares mais très sophistiquées » et a introduit le Mode Verrouillage (également appelé « Mode de Protection Extrême ») pour les contrer.

Dans cet article, nous verrons comment fonctionnent techniquement les attaques zero-click, quelles mesures de sécurité Apple a mises en place (et comment les attaquants les contournent), qui se cache derrière ce type de logiciels espions — en particulier le groupe NSO — et enfin, ce que vous pouvez faire pour protéger votre iPhone aussi efficacement que possible.
 

Contexte technique : comment apparaissent les exploits zero-click ?

Pour qu’une attaque zero-click fonctionne, le système d’exploitation — ou un service comme iMessage — doit traiter automatiquement des données sans intervention de l’utilisateur. Cela se produit, par exemple, lorsque votre iPhone reçoit un nouveau message et tente immédiatement d’analyser la pièce jointe ou le texte pour afficher un aperçu (par exemple, un aperçu d’image ou de lien).

• Analyseurs et corruption de mémoire

iMessage, HomeKit, WhatsApp et d’autres services utilisent des « analyseurs » pour préparer les données (images, vidéos, documents) à l’affichage. Pendant ce processus, des opérations complexes en mémoire ont lieu, pouvant contenir des vulnérabilités. Si les attaquants parviennent à déborder l’analyseur (par exemple via un dépassement de tampon, un dépassement d’entier) ou à déclencher d’autres erreurs mémoire (use-after-free) en envoyant des données spécialement conçues, du code malveillant peut pénétrer dans le système. Avec cet accès initial, les attaquants tenteront généralement de sortir du bac à sable (sandbox) et d’obtenir finalement un contrôle total sur l’appareil.

• Traitement automatique

Les iPhones sont conçus pour traiter automatiquement des contenus tels que des images ou des liens afin d’offrir une expérience fluide aux utilisateurs. Cependant, ce « rendu d’aperçu » peut être exploité si les données entrantes sont manipulées. Comme aucune confirmation n’est requise, ce type d’attaque est appelé attaque zero-click.

• Erreurs logiques plutôt que classiques

Certaines attaques reposent moins sur des erreurs mémoire et exploitent plutôt des « erreurs logiques ». Ici, des fonctions ou processus légitimes mais mal conçus dans iOS sont détournés pour contourner les mécanismes de sécurité. Un exemple est celui des invitations HomeKit ou de certains messages iMessage traités par le système d’une manière non prévue, permettant finalement l’exécution de code non autorisé.

En résumé, les vulnérabilités zero-click existent parce qu’iOS intègre automatiquement et profondément divers contenus dans le système. Là où des processus complexes existent, des erreurs peuvent survenir — et celles-ci peuvent potentiellement permettre aux attaquants d’exécuter du code malveillant sans aucune interaction utilisateur.
 

Analyse technique des attaques zero-click connues sur iOS

Pegasus, Kismet et FORCEDENTRY : iMessage comme point d’entrée

Le groupe israélien NSO a acquis une notoriété internationale avec son logiciel espion « Pegasus ». Pegasus est utilisé par des entités gouvernementales pour espionner des smartphones — souvent à l’insu des personnes visées.

  • Kismet (2020)
    Ciblait les iPhones sous iOS 13.x en exploitant une vulnérabilité dans iMessage. Il suffisait d’envoyer un iMessage spécialement conçu pour compromettre un appareil. Apple n’a corrigé cette faille qu’avec iOS 14, lors de l’introduction de nouveaux mécanismes de sécurité.
  • FORCEDENTRY (2021)
    Contournait les nouvelles protections d’iOS 14. Les attaquants envoyaient ce qui semblait être un fichier GIF inoffensif, en réalité un PDF manipulé. Une vulnérabilité dans la bibliothèque de traitement d’images d’Apple (CoreGraphics) était exploit
Cet article vous a-t-il été utile ? Oui Non
16 sur 16 personnes ont trouvé cet article utile
Annuler Envoyer

Articles liés

Apple’s Forced iCloud Backdoor: A Global Privacy Nightmare – and What It Means for You

Protectstar Antivirus AI Android Celebrates Its Third AV-TEST Triumph

iShredder iOS 5: A New Era of Secure Data Deletion on iPhone and iPad
Back Retour