Comment fonctionne une attaque zéro-clic?

Cette semaine, Apple a corrigé une faille de sécurité majeure qui permettait à des logiciels espions de s'introduire dans les iPhone et les iPad, en utilisant des attaques de type zéro-clic.

Celles-ci se déploient dans les appareils sans même que leur propriétaire ait à cliquer sur un lien. Comment fonctionnent-elles et que peut-on faire pour les freiner?

Les attaques zéro-clic sont une menace d'un niveau supérieur [par rapport aux attaques traditionnelles], explique John Scott-Railton, chercheur au Citizen Lab, le centre de cybersécurité de l'Université de Toronto qui a découvert la faille d’Apple.

Les logiciels espions classiques nécessitent en effet que la personne visée par l'attaque clique sur un lien ou un fichier piégé pour installer le programme sur leur téléphone, leur tablette ou leur ordinateur.

Au contraire, lors d'une attaque zéro-clic, le logiciel se faufile dans l'appareil sans que la personne visée ait à cliquer sur un quelconque lien.

Une technique cruciale pour l'espionnage, à l'heure où les internautes ressentent de plus en plus de méfiance à l'égard des messages reçus.

Les attaques zéro-clic exploitaient une faille dans le service de messagerie Apple iMessage afin d'installer discrètement Pegasus, un logiciel invasif capable de transformer un téléphone en mouchard.