Jeudi dernier, des chercheurs de ZecOps publiaient des informations sur une importante faille dans Mail. Exploitée dans iOS 13, elle pouvait permettre, à l’aide d’autres bugs, de prendre le contrôle de l’appareil sans même que l’utilisateur le sache.

Apple a contesté cette trouvaille, tout comme le fait qu’elle existerait depuis plus de deux ans et serait activement exploitée par des pirates. Les trois failles remontées existent bien, mais seraient insuffisantes pour contourner la sécurité. Elles seront néanmoins corrigées dans une mise à jour « bientôt ».

Comme l’indique Ars Technica, l’annonce de ZecOps a provoqué quelques moues dubitatives chez les chercheurs et experts en sécurité. Notamment la capacité pour le pirate d’effacer automatiquement l’email après avoir accompli son forfait.

ZecOps a en effet basé ses observations sur des évènements enregistrés dans des journaux (logs). Les chercheurs se demandent dès lors pourquoi laisser des traces dans des journaux, puisqu’un pirate ayant le pouvoir d’effacer un courrier peut également supprimer ce genre d’information.

Plusieurs sont également d’avis que la faille principale est bénigne et n’a été finalement provoquée que par certaines circonstances, dont le type d’email. Ce qui expliquerait l’effacement du courrier, mais pas sa trace dans les logs. D’autres estiment que la vulnérabilité semble bien réelle, mais que les preuves avancées sont faibles.

ZecOps, pour sa part, persiste et signe : la faille est réelle, l’exploitation est possible et les informations plus détaillées arriveront plus tard, sans doute quand iOS 13.4.5 (qui colmate la brèche) aura été suffisamment diffusé. Les chercheurs attendent en outre des informations supplémentaires d’Apple, notamment sur les éléments déclencheurs et la manière dont la firme a déterminé qu’ils n’étaient pas malveillants.