Les nouvelles technologies apportent leur lot d’innovations, mais elles s’accompagnent aussi de vulnérabilités. Récemment, un chercheur en sécurité a mis en lumière des failles dans le contrôleur USB-C des iPhone 15 et 16. Bien que complexe à exploiter, cette découverte soulève des questions nécessitées par la sécurité de nos appareils. En parallèle, une méthode utilisée par les arnaqueurs capte l’attention, illustrant un risque plus immédiat pour les utilisateurs.
Vulnérabilité du port USB-C des iPhone
Le chercheur en sécurité Thomas Roth a décelé une vulnérabilité dans la puce contrôleur USB-C, intégrée dans les nouveaux modèles d’iPhone depuis 2023. Cette faille pourrait, en théorie, permettre à un individu malveillant de compromettre un iPhone, comme l’a rapporté Cyber Security News.
Les chercheurs ont réussi à mener une attaque sur le contrôleur USB-C ACE3 d’Apple, un composant essentiel qui gère la livraison d’énergie et contrôle des systèmes internes critiques. Leur méthode consistait à mesurer des signaux électromagnétiques durant le processus de démarrage du chip […]
En exploitant une injection de défauts électromagnétiques à un moment clé du démarrage, ils ont contourné les vérifications de validation et ont réussi à introduire un firmware modifié dans le processeur de la puce.
Cependant, le processus est incroyablement difficile et nécessite un accès physique à l’appareil. Après inspection, l’équipe de sécurité d’Apple a jugé la menace non réaliste, une position également partagée par Roth.
Escroqueries par iMessage et contournement des protections
Les arnaqueurs n’hésitent pas à utiliser SMs et iMessages pour phishing et installation de malware sur iPhone. Pour contrer cela, Apple bloque automatiquement les liens contenus dans les messages d’expéditeurs non enregistrés, rendant ces liens inaccessibles.
Malgré cette protection, des arnaqueurs ont trouvé un moyen de contourner ce système. Si la victime répond au message, même par un simple « STOP », la protection est désactivée, ouvrant ainsi la voie à des attaques.
Apple a confirmé à BleepingComputer que répondre ou ajouter l’expéditeur à la liste de contacts annule les restrictions sur les liens.
Sur les dernières semaines, une augmentation notable des « smishing » a été observée, où des messages frauduleux incitent les utilisateurs à répondre afin de débloquer les liens. Ces messages se présentent souvent sous des apparences légitimes, comme une communication de USPS.
Conseils pour se protéger
La prudence est de mise : ne cliquez jamais sur un lien reçu par message, sauf si vous attendez une communication. Il est plus sûr d’utiliser vos propres favoris ou de rentrer manuellement les URL. En cas de doute, n’hésitez pas à contacter directement l’entreprise avec des coordonnées fiables.
Photo : Netcost-security.fr