Exploits iPhone sans clic : fonctionnement et conseils pour vous protéger contre ces attaques invisibles et sophistiquées.

Les exploits « zero-click » sur l’iPhone comptent parmi les formes d’attaques numériques les plus dangereuses. Il suffit que des attaquants envoient un message ou un fichier préparé à votre appareil — sans aucun clic ni ouverture active requis. « Zero-click » signifie qu’aucune interaction utilisateur n’est nécessaire. Ces attaques sont extrêmement complexes et ciblent principalement des individus de haut profil tels que journalistes, activistes ou responsables gouvernementaux. Apple décrit ces attaques comme « extrêmement rares mais très sophistiquées » et a introduit le Mode Verrouillage (également appelé « Mode de Protection Extrême ») pour les contrer.

Dans cet article, nous verrons comment fonctionnent techniquement les attaques zero-click, quelles mesures de sécurité Apple a mises en place (et comment les attaquants les contournent), qui se cache derrière ce type de logiciels espions — en particulier le groupe NSO — et enfin, ce que vous pouvez faire pour protéger votre iPhone aussi efficacement que possible.
 

Contexte technique : comment apparaissent les exploits zero-click ?

Pour qu’une attaque zero-click fonctionne, le système d’exploitation — ou un service comme iMessage — doit traiter automatiquement des données sans intervention de l’utilisateur. Cela se produit, par exemple, lorsque votre iPhone reçoit un nouveau message et tente immédiatement d’analyser la pièce jointe ou le texte pour afficher un aperçu (par exemple, un aperçu d’image ou de lien).

• Analyseurs et corruption de mémoire

iMessage, HomeKit, WhatsApp et d’autres services utilisent des « analyseurs » pour préparer les données (images, vidéos, documents) à l’affichage. Pendant ce processus, des opérations complexes en mémoire ont lieu, pouvant contenir des vulnérabilités. Si les attaquants parviennent à déborder l’analyseur (par exemple via un dépassement de tampon, un dépassement d’entier) ou à déclencher d’autres erreurs mémoire (use-after-free) en envoyant des données spécialement conçues, du code malveillant peut pénétrer dans le système. Avec cet accès initial, les attaquants tenteront généralement de sortir du bac à sable (sandbox) et d’obtenir finalement un contrôle total sur l’appareil.

• Traitement automatique

Les iPhones sont conçus pour traiter automatiquement des contenus tels que des images ou des liens afin d’offrir une expérience fluide aux utilisateurs. Cependant, ce « rendu d’aperçu » peut être exploité si les données entrantes sont manipulées. Comme aucune confirmation n’est requise, ce type d’attaque est appelé attaque zero-click.

• Erreurs logiques plutôt que classiques

Certaines attaques reposent moins sur des erreurs mémoire et exploitent plutôt des « erreurs logiques ». Ici, des fonctions ou processus légitimes mais mal conçus dans iOS sont détournés pour contourner les mécanismes de sécurité. Un exemple est celui des invitations HomeKit ou de certains messages iMessage traités par le système d’une manière non prévue, permettant finalement l’exécution de code non autorisé.

En résumé, les vulnérabilités zero-click existent parce qu’iOS intègre automatiquement et profondément divers contenus dans le système. Là où des processus complexes existent, des erreurs peuvent survenir — et celles-ci peuvent potentiellement permettre aux attaquants d’exécuter du code malveillant sans aucune interaction utilisateur.
 

Analyse technique des attaques zero-click connues sur iOS

Pegasus, Kismet et FORCEDENTRY : iMessage comme point d’entrée

Le groupe israélien NSO a acquis une notoriété internationale avec son logiciel espion « Pegasus ». Pegasus est utilisé par des entités gouvernementales pour espionner des smartphones — souvent à l’insu des personnes visées.

• Kismet (2020)
  Ciblait les iPhones sous iOS 13.x en exploitant une vulnérabilité dans iMessage. Il suffisait d’envoyer un iMessage spécialement conçu pour compromettre un appareil. Apple n’a corrigé cette faille qu’avec iOS 14, lors de l’introduction de nouveaux mécanismes de sécurité.
• FORCEDENTRY (2021)
  Contournait les nouvelles protections d’iOS 14. Les attaquants envoyaient ce qui semblait être un fichier GIF inoffensif, en réalité un PDF manipulé. Une vulnérabilité dans la bibliothèque de traitement d’images d’Apple (CoreGraphics) était exploit