Une vulnérabilité dans la nouvelle application Passwords (« Mots de passe »), inaugurée avec la mise à jour iOS 18, a été découverte par les chercheurs en sécurité de Mysk. Comme l’expliquent les chercheurs à nos confrères de 9to5Mac, la faille rend les utilisateurs d’iPhone vulnérables à des attaques de phishing.
Des requêtes HTTP sur une application Apple sensible
Dans un premier temps, les experts se sont rendu compte que l’application d’Apple envoyait des requêtes HTTP non sécurisées pour obtenir les logos et les icônes de 130 sites web. Ces éléments servaient à illustrer les sites web liés à vos mots de passe enregistrés. Par défaut, les pages de réinitialisation de mot de passe utilisent aussi le HTTP.
Sans raison particulière, Apple n’a pas souhaité forcer l’utilisation du HTTPS, plus sécurisé que le HTTP, sur l’app. Le protocole HTTP transmet des données en texte clair, sans chiffrement, ce qui ouvre la porte ouverte aux cyberattaques. A contrario, le standard HTTPS repose sur des données chiffrées à l’aide des protocoles SSL/TLS.
« Nous avons été surpris qu’Apple n’ait pas appliqué le HTTPS par défaut pour une application aussi sensible. De plus, Apple devrait offrir une option aux utilisateurs soucieux de la sécurité pour désactiver complètement le téléchargement des icônes. Je ne me sens pas à l’aise avec mon gestionnaire de mots de passe qui envoie constamment un ping à chaque site Web pour lequel je maintiens un mot de passe », résument les chercheurs de Mysk, étonné par l’approche choisie par Apple.
Ces requêtes non sécurisées peuvent être interceptées par une personne connectée au même réseau Wi-Fi que l’iPhone de la cible. In fine, il peut « rediriger l’utilisateur vers un site web de phishing ». Ce site malveillant pourrait alors demander les données personnelles des utilisateurs, dont des identifiants et des mots de passe. Les chercheurs prennent l’exemple d’une page de phishing imitant le site officiel de Microsoft par exemple. Persuadée d’être sur le site de Microsoft, la cible pourrait entrer les identifiants liés à son compte dans le but de s’y connecter. La faille ouvre la porte à de trés efficaces attaques passant par des réseaux Wi-Fi publics, comme ceux d’un aéroport, d’un café, d’un restaurant ou encore d’un hôtel.
À lire aussi : 25% des réseaux Wi-Fi publics de Paris sont un danger
Apple corrige le tir avec iOS 18.2
Alerté par les chercheurs de Mysk, Apple a corrigé la vulnérabilité. Le géant de Cupertino a inclus un correctif dans la mise à jour iOS 18.2. Sur son site, Apple admet qu’un « utilisateur dans une position privilégiée du réseau peut être en mesure de divulguer des informations sensibles » en exploitant la faille. Le groupe évoque aussi une seconde faille, liée à la première, qui permettrait à « un attaquant dans une position privilégiée du réseau » de « modifier le trafic réseau ».
La faille est restée béante pendant une durée de trois mois, entre le déploiement d’iOS 18 et l’arrivée d’iOS 18.2. Apple ajoute que ce « problème a été résolu par l’utilisation de HTTPS lors de l’envoi d’informations sur le réseau ». En évitant les requêtes HTTP non sécurisées, Apple empêche un éventuel attaquant d’intercepter les communications. Notez qu’Apple a corrigé la faille avec iOS 18.2, déployé en janvier dernier, mais vient de communiquer à ce sujet.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : 9to5Mac
