Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Sur iOS, attention aux fausses fenêtres d'identification du compte Apple

Copycat
Mobilité 4 min
Sur iOS, attention aux fausses fenêtres d'identification du compte Apple

Les utilisateurs d’iOS doivent faire attention à un éventuel problème de sécurité. Les demandes du système pour le mot de passe du compte Apple peuvent en effet être copiées de manière très convaincante. Les utilisateurs peuvent cependant se prémunir contre la plupart des scénarios d’attaque.

C’est le développeur Felix Krause (auteur des outils Fastlane) qui a mis le doigt sur ce problème. Dans un billet de blog expliquant la situation, il pointe les petites fenêtres demandant à l’utilisateur de s’authentifier avec son compte Apple.

iOS affiche ce type de fenêtre de temps en temps. Apple essaye de limiter ces demandes au maximum, mais elles suivent un schéma prédéfini, surtout quand Touch ID ou Face ID sont impliqués (voir notre analyse). Par exemple, le mot de passe est réclamé quand l’utilisateur ne l’a pas saisi depuis un moment, que des tentatives d’identification biométrique ont raté, pour valider un achat sur le Store et ainsi de suite.

Des demandes de mots de passe bien trop semblables

Mais comme l’indique Krause, rien n’empêche actuellement une application tierce d’afficher une demande ayant exactement la même apparence. Il publie d’ailleurs les deux fenêtres côte à côte pour bien montrer la copie quasi conforme.

ios felix krause
Crédits : Felix Krause

À gauche, la fenêtre légitime. À droite la demande malveillante. Dans le deuxième cas, l’adresse du compte Apple est déjà connue (l’attaquant doit se débrouiller pour l’obtenir), seul reste le mot de passe à saisir. En somme une tentative de phishing d'un genre un peu particulier.

Le développeur, soulignant le soin généralement apporté aux détails par Apple, ne comprend pas comment la firme peut laisser perdurer de tels comportements, potentiellement malveillants.

Une clé déverrouillant l'accès à de nombreuses données

Potentiellement, car le mot de passe pourrait être réclamé par des applications elles-mêmes malveillantes. Il faudrait pour cela qu’elles aient passé la barrière de l’App Store (ce qui n’a rien d’impossible), ou été installées depuis une source tierce sur un appareil « jailbreaké ». À partir de là, si l’utilisateur a donné ses identifiants, le pouvoir de nuisance du pirate est très élevé.

Le compte Apple fédère toute une galaxie de données via iCloud. Dans la grande majorité, ce dernier est activé et synchronise donc de nombreuses informations : contacts, messages, emails, réglages, liste des applications, données diverses, etc. Sans parler de la sauvegarde automatique pour chaque appareil (si tant est que l’espace gratuit de 5 Go ne soit pas déjà plein).

Le bouton Accueil permet de trier les demandes

Les utilisateurs ne sont cependant pas démunis face à ce danger. Si l’identification en deux étapes a été activée (et elle devrait toujours l’être), aucune connexion ne pourra se faire depuis un nouvel appareil sans qu’un code de sécurité ne soit réclamé. Si le pirate obtient les identifiants, c’est toujours l’utilisateur qui recevra les six chiffres qui valideront l’authentification. Ce n’est bien entendu pas une protection totalement étanche… puisqu’une application pourrait également réclamer le code.

De manière plus pratique, il existe un moyen simple de savoir si la demande affichée est légitime : appuyer sur le bouton Accueil. Si la fenêtre disparait avec son application, c’est qu’elle n’émanait pas d’iOS. Si elle reste affichée, c’est au contraire que le système attend le mot de passe pour finaliser une opération importante. Le cas de l'iPhone X, qui n'a plus ce bouton, sera d'ailleurs intéressant.

La procédure fonctionne dans la grande majorité des cas affirme le développeur. Mais la seule manière sûre en cas demande impromptue serait de repérer le service réclamant le mot de passe (quand c'est possible), refuser la demande, puis se rendre dans ce service pour cette fois la valider. Une procédure qui risque de sembler bien pénible aux utilisateurs.

Des contrôles propres à iOS ?

Côté Apple, Felix Krause souligne qu’il serait assez simple de remédier au problème. le fabricant n’aurait ainsi qu’à mettre en place une série de contrôles spécifiques au système et que les développeurs tiers ne seraient pas autorisés à copier. En clair, des fenêtres propres à iOS, qui ne laissent aucun doute sur leur provenance.

On imagine qu’Apple réfléchit à la question, même si elle ne s’est pour l’instant pas exprimée. On se doute également du problème sous-jacent. La société est connue pour maintenir les interactions utilisateur aussi longtemps que possible. Une fois qu’un élément UI/UX (interface ou expérience utilisateur) est en place, il y reste. Si les fenêtres d’authentification doivent changer, l’utilisateur pourrait bien se demander pourquoi « elles ne sont pas comme d’habitude », et donc s’en méfier… et ce d’autant plus que les applications malveillantes pourraient continuer à afficher des demandes classiques.

25 commentaires
Avatar de KP2 Abonné
Avatar de KP2KP2- 11/10/17 à 10:08:34

Ouais c'est pas nouveau... les 1ers à avoir remonté ce problème l'ont fait il y a au moins 2 ans...
Par contre, c'est effectivement débile qu'Apple n'a pas encore trouvé un meilleur moyen que cette popup. Je pense qu'ils comptent sur leur processus de validation en amont pour éviter ce genre de problème.
C'est vrai que pour l'instant, il n'y a pas eu de cas réel de ce genre... c'est probablement efficace...

Avatar de jb18v Abonné
Avatar de jb18vjb18v- 11/10/17 à 10:13:18

c'est vrai que ça sort un peu sans prévenir.. idem de temps en temps, demande de mdp du compte mail :keskidit:

Avatar de dumbledore INpactien
Avatar de dumbledoredumbledore- 11/10/17 à 10:15:02

KP2 a écrit :

Ouais c'est pas nouveau... les 1ers à avoir remonté ce problème l'ont fait il y a au moins 2 ans...
Par contre, c'est effectivement débile qu'Apple n'a pas encore trouvé un meilleur moyen que cette popup. Je pense qu'ils comptent sur leur processus de validation en amont pour éviter ce genre de problème.
C'est vrai que pour l'instant, il n'y a pas eu de cas réel de ce genre... c'est probablement efficace...

C'est sur?
Mais comment éviter ce piège très subtil :duel1:

C'est "Loading" en gras qui fait la différence? un correctif rapide sera proposé?

Avatar de KP2 Abonné
Avatar de KP2KP2- 11/10/17 à 10:18:40

dumbledore a écrit :

C'est sur?

Sur, non.
C'est juste qu'on en a pas entendu parlé et j'ose croire que si il devait y avoir un cas de ce genre, ça aurait fait le tour de toutes les gazettes du web en moins de temps qu'il n'en faut à un hater pour dauber sur Apple.

En tout cas, le problème est sérieux pour moi mais Apple ne semble pas spécialement inquiet donc ils doivent bien faire qqch pour éviter ce risque depuis le temps qu'il existe...

Avatar de misterB Abonné
Avatar de misterBmisterB- 11/10/17 à 10:20:10

dumbledore a écrit :

C'est sur?
Mais comment éviter ce piège très subtil :duel1:

C'est "Loading" en gras qui fait la différence? un correctif rapide sera proposé?

Quitte l'app, si le pop up résiste c'est qu'il est réel :chinois:

Avatar de Winderly Abonné
Avatar de WinderlyWinderly- 11/10/17 à 11:23:12

Dans la photo d'écran proposée, où distingue-t-on la différence ?

Avatar de Jarodd INpactien
Avatar de JaroddJarodd- 11/10/17 à 11:35:37

Apple essaye de limiter ces demandes au maximum, mais elles suivent un
schéma prédéfini, surtout quand Touch ID ou Face ID sont impliqués

C'est pour quel usage exactement ? Sur Android je n'ai jamais vu une telle demande de mot de passe qui surgit inopinément. C'est peut-être pire alors... ?

Avatar de OlivierJ Abonné
Avatar de OlivierJOlivierJ- 11/10/17 à 11:44:43

Winderly a écrit :

Dans la photo d'écran proposée, où distingue-t-on la différence ?

Je me posais aussi la question, et dumbledore en #3 a mentionné la taille de "Loading", mais c'est subtil en effet.

Avatar de Winderly Abonné
Avatar de WinderlyWinderly- 11/10/17 à 11:47:23

Si c’est le seul détail choquant, il faut être plus méfiant que la moyenne (je doute que ce soit le cas de la majorité des utilisateurs de iOS).

Avatar de KP2 Abonné
Avatar de KP2KP2- 11/10/17 à 12:09:59

Winderly a écrit :

Dans la photo d'écran proposée, où distingue-t-on la différence ?

Y'en a pas justement. La popup est absolument identique.
La différence est dans la réaction à une mise en arrière plan : la vraie reste devant, la fausse part avec l'appli.
Le seul "problème" est que l'appli doit connaitre le nom du compte Apple. Mais c'est certainement pas un gros problème à obtenir...

Jarodd a écrit :

C'est pour quel usage exactement ? Sur Android je n'ai jamais vu une telle demande de mot de passe qui surgit inopinément. C'est peut-être pire alors... ?

Ce genre de demande arrive quand on achète une appli ou quand on fait une reconnexion à iCloud. Ca arrive rarement mais assez régulièrement pour ne pas être surpris.
C'est pour ça que l'auteur de la démonstration dit qu'Apple a "entrainé ses clients à entrer leur mot de passe sur cette popup sans vérif". Il a raison.

Après, je répète encore : l'impact ne semble pas si important que ça car il n'y a pas eu de cas de ce genre depuis 10 ans que les iPhones existent. Cette popup est là depuis que l'AppStore existe pourtant (donc 8 ou 9 ans).

Édité par KP2 le 11/10/2017 à 12:11
Il n'est plus possible de commenter cette actualité.
Page 1 / 3