iOS: une faille Zero-Day exploitée contre des fonctionnaires occidentaux
Une faille décrite dans ce document donne des détails d'une faille Zero-Day activement exploitée et attribuée à un groupe de pirates travaillant à la solde du gouvernement russe.
Son utilisation visait des fonctionnaires gouvernementaux occidentaux afin de leur dérober identifiants et mots de passe d'accès à des sites sécurisés.
Tout démarrait par un mail ou un message envoyé par Linkedin et contenant un lien vers une page web d'apparence anodine. Une fois sur cette page, l'exploit était lancé et permettait de désactiver les protections afin de récupérer les cookies et jetons de connexion à des sites sécurisés.
Cela concerne les iPhone à jour, Webkit sous iOS mais aussi les navigateurs Chrome et Internet Explorer.
Ces failles sont développées par des groupes de pirates ou des sociétés spécialisées, puis vendues ou louées à qui le veut et peut en payer le prix. Ce genre d'exploit est bien entendu très prisé et donc très bien rémunéré…