iOS : une faille de sécurité pourrait compromettre les identifiants Apple

Un développeur autrichien a mis au jour une vulnérabilité du logiciel d'Apple qui pourrait s'avérer particulièrement sensible.

Un développeur a découvert une vulnérabilité d'iOS

Crédit : Felix Krause

Je m'abonne à la newsletter « Infos »

Le système d'exploitation mobile d'Apple est plutôt réputé pour sa sécurité. Mais cela ne le dispense pas de présenter de temps en temps certaines vulnérabilités. Felix Krause, un développeur autrichien employé par Google, a mis au jour une faille de sécurité qui pourrait s'avérer particulièrement sensible.

L'informaticien a reproduit la boîte de dialogue demandant à l'utilisateur de saisir le mot de passe de son compte Apple lors du téléchargement ou de la mise à jour d'une application. Cette fenêtre popup est bien connue des utilisateurs d'iOS. Elle s'affiche pour accéder à iCloud et pour acheter ou mettre à jour des applications. Elle permet de vérifier l'identité du titulaire du smartphone et d'empêcher les modifications non autorisées.

À gauche, la boîte de dialogue officielle, à droite la copie réalisée par le développeur

Crédit : Felix Krause

Dans un article publié sur son blog mardi 10 octobre, Felix Krause explique comment il a réussi à développer une copie de la boîte de dialogue officielle d'iOS pour démontrer que des tentatives de phishing pourraient facilement viser le logiciel d'Apple. Les différences entre les deux fenêtres popup sont quasiment imperceptibles à l’œil nu. Même un utilisateur d'iPhone chevronné pourrait s'y méprendre.

La fenêtre de droite pourrait facilement être utilisée pour détourner un identifiant et un mot de passe. Les pirates pourraient ensuite accéder aux informations du compte iTunes compromis, dont des données bancaires, et tenter d'infiltrer d'autres comptes, les internautes réutilisant souvent le même mot de passe pour plusieurs services.

Un code de moins de 30 lignes

"Les utilisateurs sont habitués à entrer leurs identifiants Apple à chaque fois qu'iOS les y invite", observe Felix Krause. "Mais ces popups ne s'affichent pas seulement sur l'écran de verrouillage et l'écran d'accueil. Elles peuvent surgir dans des applications aléatoires, pour accéder à iCloud, GameCenter ou pour effectuer des achats intégrés aux applications", souligne-t-il. Selon lui, "n'importe quel développeur iOS est capable de concevoir son propre code phishing avec moins de 30 lignes". Mais il ne précise pas que est le code source de la boîte de dialogue afin de ne pas encourager les tentatives de phishing.

Pour se prémunir de la vulnérabilité, Felix Krause conseille aux utilisateurs d'appuyer sur le bouton d'accueil de leur iPhone ou iPad lorsqu'une boîte de dialogue les invitant à saisir leurs identifiants Apple surgit. Si la fenêtre popup se ferme en même temps que l'application, c'est qu'il s'agissait d'une copie, et donc d'une tentative de phishing. Si la boîte de dialogue reste affichée à l'écran, vous pouvez rentrer votre mot de passe. Celle qui est générée par le système de l'iPhone s'exécute dans le cadre d'une opération indépendante et non au sein d'une application.

la rédaction vous recommande