Le FBI alerte les utilisateurs d’iPhone : faille critique détectée dans le chiffrement iMessage

ALERTE SÉCURITÉ - La messagerie Apple présente une vulnérabilité majeure

Le FBI lance un avertissement sans précédent concernant iMessage. Une faille de chiffrement expose potentiellement les communications de millions d'utilisateurs iPhone.

Les autorités recommandent immédiatement la désactivation temporaire du service. Cette brèche sécurité remet en question la réputation d'inviolabilité d'Apple.

Les experts en cybersécurité s'activent pour développer des correctifs. En attendant, les utilisateurs doivent privilégier d'autres solutions de messagerie chiffrée.

Ironie du sort - voilà qui donne un coup de pouce inattendu aux cryptomonnaies décentralisées, où la sécurité n'est pas confiée à une seule entreprise.

Les messages iMessage envoyés à Android ne sont pas chiffrés et sont vulnérables au vol de données.

Aux États-Unis, les utilisateurs d'iPhone privilégieraient iMessage à d'autres applications de messagerie chiffrée comme WhatsApp. Selon un rapport publié mi-2024, plus de la moitié des Américains possédant un smartphone sont des iPhones, et 26 % d'entre eux utilisent iMessage. Mark Zuckerberg, PDG de Meta, considère iMessage comme son principal concurrent sur le marché américain.

Les téléphones Android disposent du protocole RCS que Google a testé pour le chiffrement de bout en bout, mais Apple n'a pas confirmé quand elle mettra en œuvre des protections similaires. 

iMessage est une interface utilisateur et le seul client SMS sur iPhone, que le département de la Justice a vivement critiqué dans son rapport sur l'écosystème fermé d'Apple. Selon le département de la Justice, l'absence d'alternatives exposerait tous les utilisateurs d'iPhone en cas d'attaque contre le système de messagerie.

« Voici notre principal conseil », a déclaré la CISA, alors même que de nouvelles attaques de logiciels espions ciblent Signal et WhatsApp. « N’utilisez pas la messagerie texte entre iPhones et Androids. Elle n’est pas entièrement chiffrée. »

L'année dernière, le FBI et la CISA ont émis un avertissement similaire en raison de Salt Typhoon, une cyberopération liée à l'État chinois qui a réussi à accéder à des conversations et des SMS privés. 

Comme l'a rapporté le Washington Post, le sénateur Mark Warner, président de la commission du renseignement du Sénat, a qualifié cette intrusion de « pire piratage de télécommunications de l'histoire des États-Unis ».

« Nous sommes l'envie du monde entier dans le domaine des télécommunications. Je ne veux pas freiner cette innovation. Je ne veux pas imposer une nouvelle réglementation excessive. Il ne s'agit que de sûreté et de sécurité », a déclaré le sénateur au WP.

Le FBI et d'autres responsables de la cybersécurité ont demandé aux Américains d'éviter les SMS classiques et de privilégier Signal ou WhatsApp pour protéger leurs communications contre les pirates informatiques étrangers. 

« Notre suggestion, ce que nous avons déjà dit en interne, n'a rien de nouveau : le chiffrement est votre allié, que ce soit pour les SMS ou les communications vocales chiffrées. Même si un adversaire parvient à intercepter les données, le chiffrement les rendra illisibles », a déclaré Jeff Greene, directeur adjoint exécutif chargé de la cybersécurité à la CISA.

WhatsApp et les appareils Android sont également exposés à des vulnérabilités.

Outre les problèmes d'Apple, Cryptopolitan a également traité de plusieurs failles de sécurité affectant WhatsApp et Android, mentionnées dans les notes de la CISA publiées lundi. Début novembre, des chercheurs de l'Université de Vienne ont révélé une faille dans la fonction d'inscription de WhatsApp qui leur a permis de collecter 30 millions de numéros de téléphone américains en seulement 30 minutes.

Au cours de leurs recherches, ils ont eu accès aux données de 3,5 milliards d'utilisateurs à travers le monde. Environ 57 % de ces utilisateurs avaient une photo de profil publique, et les chercheurs ont pu consulter le texte de profil de 29 % des comptes.

Quelques jours seulement après que l'institution a partagé ses conclusions, la société de cybersécurité Unit 42 a signalé une campagne de logiciels espions sur les appareils Samsung Galaxy nommée LANDFALL, qui utilise une vulnérabilité zero-day dans la bibliothèque de traitement d'images de Samsung libimagecodec.quram.so (CVE-2025-21042) pour infiltrer les appareils via des images envoyées sur WhatsApp.

Selon l'unité 42, ce logiciel malveillant est actif depuis mi-2024 et permet aux attaquants de surveiller intégralement l'appareil sans intervention de l'utilisateur. Des logiciels malveillants Android ont également été découverts dissimulés dans des échantillons d'images iOS, au sein de fichiers DNG (Digital Negative). 

Plusieurs utilisateurs cités dans les conclusions de Unit42 ont signalé avoir vu des noms de fichiers étiquetés comme des téléchargements WhatsApp, tels que « IMG-20240723-WA0000.jpg », tracvers des lieux tels que le Maroc, l'Iran, l'Irak et la Turquie entre juillet 2024 et début 2025.

Une autre vulnérabilité, CVE-2025-12725, une erreur d'écriture hors limites dans le composant de traitement graphique WebGPU de Google Chrome, a également été exploitée en conjonction avec LANDFALL.

Vous souhaitez que votre projet soit présenté aux plus grands noms de la cryptomonnaie ? Présentez-le dans notre prochain rapport sectoriel, où données et impact se rencontrent.