Failles chez Apple: comment fonctionne une attaque «zéro-clic»?

Cette semaine, Apple a corrigé une faille de sécurité majeure qui permettait à des logiciels espions de s'introduire dans les iPhone et les iPad, en utilisant des attaques «zéro-clic».

• À lire aussi: Apple: nouveaux iPhones, mêmes problèmes

• À lire aussi: Apple publie une mise à jour en urgence pour fermer une faille

Celles-ci se déploient dans les appareils sans même que leur propriétaire ait à cliquer sur un lien. Comment fonctionnent-elles et que peut-on faire pour les stopper?

«Les attaques zéro-clic sont une menace d'un niveau supérieur» aux attaques traditionnelles, explique John Scott-Railton, chercheur au Citizen Lab, le centre de cybersécurité de l'Université de Toronto qui a découvert la faille chez Apple.

Les logiciels espions classiques nécessitent en effet que la personne visée par l'attaque clique sur un lien ou un fichier piégé pour installer le programme sur leur téléphone, tablette ou ordinateur.

Au contraire, lors d'une attaque zéro-clic, le logiciel se faufile dans l'appareil sans que la personne visée n'ait à cliquer sur un quelconque lien.

Une technique cruciale pour les potentiels espions, à l'heure où les utilisateurs sont de plus en plus méfiants à l'égard des messages qu'ils reçoivent.

Les attaques zéro-clic exploitaient une faille dans le service de messagerie Apple iMessage afin d'installer discrètement Pegasus, un logiciel invasif capable de transformer un téléphone en un mini mouchard.