Les utilisateurs d’iOS doivent faire attention à un éventuel problème de sécurité. Les demandes du système pour le mot de passe du compte Apple peuvent en effet être copiées de manière très convaincante. Les utilisateurs peuvent cependant se prémunir contre la plupart des scénarios d’attaque.
C’est le développeur Felix Krause (auteur des outils Fastlane) qui a mis le doigt sur ce problème. Dans un billet de blog expliquant la situation, il pointe les petites fenêtres demandant à l’utilisateur de s’authentifier avec son compte Apple.
iOS affiche ce type de fenêtre de temps en temps. Apple essaye de limiter ces demandes au maximum, mais elles suivent un schéma prédéfini, surtout quand Touch ID ou Face ID sont impliqués (voir notre analyse). Par exemple, le mot de passe est réclamé quand l’utilisateur ne l’a pas saisi depuis un moment, que des tentatives d’identification biométrique ont raté, pour valider un achat sur le Store et ainsi de suite.
Des demandes de mots de passe bien trop semblables
Mais comme l’indique Krause, rien n’empêche actuellement une application tierce d’afficher une demande ayant exactement la même apparence. Il publie d’ailleurs les deux fenêtres côte à côte pour bien montrer la copie quasi conforme.
À gauche, la fenêtre légitime. À droite la demande malveillante. Dans le deuxième cas, l’adresse du compte Apple est déjà connue (l’attaquant doit se débrouiller pour l’obtenir), seul reste le mot de passe à saisir. En somme une tentative de phishing d'un genre un peu particulier.
Le développeur, soulignant le soin généralement apporté aux détails par Apple, ne comprend pas comment la firme peut laisser perdurer de tels comportements, potentiellement malveillants.
Une clé déverrouillant l'accès à de nombreuses données
Potentiellement, car le mot de passe pourrait être réclamé par des applications elles-mêmes malveillantes. Il faudrait pour cela qu’elles aient passé la barrière de l’App Store (ce qui n’a rien d’impossible), ou été installées depuis une source tierce sur un appareil « jailbreaké ». À partir de là, si l’utilisateur a donné ses identifiants, le pouvoir de nuisance du pirate est très élevé.
Le compte Apple fédère toute une galaxie de données via iCloud. Dans la grande majorité, ce dernier est activé et synchronise donc de nombreuses informations : contacts, messages, emails, réglages, liste des applications, données diverses, etc. Sans parler de la sauvegarde automatique pour chaque appareil (si tant est que l’espace gratuit de 5 Go ne soit pas déjà plein).
Le bouton Accueil permet de trier les demandes
Les utilisateurs ne sont cependant pas démunis face à ce danger. Si l’identification en deux étapes a été activée (et elle devrait toujours l’être), aucune connexion ne pourra se faire depuis un nouvel appareil sans qu’un code de sécurité ne soit réclamé. Si le pirate obtient les identifiants, c’est toujours l’utilisateur qui recevra les six chiffres qui valideront l’authentification. Ce n’est bien entendu pas une protection totalement étanche… puisqu’une application pourrait également réclamer le code.
De manière plus pratique, il existe un moyen simple de savoir si la demande affichée est légitime : appuyer sur le bouton Accueil. Si la fenêtre disparait avec son application, c’est qu’elle n’émanait pas d’iOS. Si elle reste affichée, c’est au contraire que le système attend le mot de passe pour finaliser une opération importante. Le cas de l'iPhone X, qui n'a plus ce bouton, sera d'ailleurs intéressant.
La procédure fonctionne dans la grande majorité des cas affirme le développeur. Mais la seule manière sûre en cas demande impromptue serait de repérer le service réclamant le mot de passe (quand c'est possible), refuser la demande, puis se rendre dans ce service pour cette fois la valider. Une procédure qui risque de sembler bien pénible aux utilisateurs.
Des contrôles propres à iOS ?
Côté Apple, Felix Krause souligne qu’il serait assez simple de remédier au problème. le fabricant n’aurait ainsi qu’à mettre en place une série de contrôles spécifiques au système et que les développeurs tiers ne seraient pas autorisés à copier. En clair, des fenêtres propres à iOS, qui ne laissent aucun doute sur leur provenance.
On imagine qu’Apple réfléchit à la question, même si elle ne s’est pour l’instant pas exprimée. On se doute également du problème sous-jacent. La société est connue pour maintenir les interactions utilisateur aussi longtemps que possible. Une fois qu’un élément UI/UX (interface ou expérience utilisateur) est en place, il y reste. Si les fenêtres d’authentification doivent changer, l’utilisateur pourrait bien se demander pourquoi « elles ne sont pas comme d’habitude », et donc s’en méfier… et ce d’autant plus que les applications malveillantes pourraient continuer à afficher des demandes classiques.
Commentaires (25)
#1
Ouais c’est pas nouveau… les 1ers à avoir remonté ce problème l’ont fait il y a au moins 2 ans…
Par contre, c’est effectivement débile qu’Apple n’a pas encore trouvé un meilleur moyen que cette popup. Je pense qu’ils comptent sur leur processus de validation en amont pour éviter ce genre de problème.
C’est vrai que pour l’instant, il n’y a pas eu de cas réel de ce genre… c’est probablement efficace…
#2
c’est vrai que ça sort un peu sans prévenir.. idem de temps en temps, demande de mdp du compte mail
" />
#3
#4
#5
#6
Dans la photo d’écran proposée, où distingue-t-on la différence ?
#7
Apple essaye de limiter ces demandes au maximum, mais elles suivent un
schéma prédéfini, surtout quand Touch ID ou Face ID sont impliqués
C’est pour quel usage exactement ? Sur Android je n’ai jamais vu une telle demande de mot de passe qui surgit inopinément. C’est peut-être pire alors… ?
#8
#9
Si c’est le seul détail choquant, il faut être plus méfiant que la moyenne (je doute que ce soit le cas de la majorité des utilisateurs de iOS).
#10
#11
#12
Ça serait plus intéressant si tu répondais sur le fond, plutôt que de t’en prendre au commentateur.
(qui par ailleurs ne me paraît pas spécialement parler comme un fan de la marque)
#13
#14
#15
#16
@KP2
" />
" />
" />
Oui, ça va mieux, merci, fallait bien que ça sorte un jour.
Après, si ça te fait prendre enfin conscience de tout ça, malgré le fait qu’on (= de nombreux commentateurs ici ou ailleurs) te l’a déjà dit maintes fois, ce sera un progrès
Je pense que si tu lisais objectivement tout ton passif de commentaires, en faisant un “search & replace” du nom de certains éditeurs par d’autres, tu en viendrais aux mêmes considérations que les miennes.
Rien de dramatique cela dit, ça n’atteint pas non plus certains niveaux de trolls, mais la répétition est pourtant assez dure à supporter quelques fois.
Je n’en ferai plus part, le message est passé, maintenant t’en feras ce que tu veux (j’ai peut*-être été un peu trop direct, et tu m’en vois navré), et peu importe ce qu’il en sortira, ça ne m’empêchera pas non plus de continuer à lire les commentaires, que ce soit les tiens ou d’autres.
Allez, cela dit, passe une bonne soirée
@OlivierJ
Je l’ai toujours pensé, j’ai souvent failli te le dire d’ailleurs, et ce n’est pas de la lèche ou quoi que ce soit. Donc j’en profite maintenant. Et ce que j’avais souvent envie de rétorquer aux nombreux trolls / comploteurs / extrémistes etc… rencontrés au fil des threads, tu l’exprimais de manière bien meilleure que ce que j’aurais sans doute fait. Bref, ça me faisait toujours un bien fou de lire quelqu’un d’un tant soit peu sensé.
Allez toi aussi
#17
Pour etre clair :
#18
:popcorn:
#19
#20
A part sur l’AppStore quand on achète qqchose ou lors d’un achat volontaire dans un jeu, je n’ai pas souvenir d’avoir vu cette fenêtre ailleurs.
Quand l’idtouch échoue, c’est la fenêtre de saisie du code pin qui s’affiche, pas ce mini-popup.
#21
En même temps t’étais aussi le fanboy MS sur Clubic (bon pas autant que Topnem… heureusement!)
T’as tjs ton WP?
#22
#23
#24
Ce qui m’étonne avec toutes ces vagues de phishing, c’est qu’il n’y ait pas de version revue du vieux Virus Belge.
" />
Bonjour,
Ceci est une tentative de phishing basée sur l’HONNEUR.
Veuillez envoyer vos identifiants et mots de passe à l’adresse suivante : [email protected]
Par avance, merci pour votre coopération.
#25
“Par exemple, le mot de passe est réclamé quand l’utilisateur ne l’a pas saisi depuis un moment, que des tentatives d’identification biométrique ont raté, pour valider un achat sur le Store et ainsi de suite.”
Il y a très souvent des requêtes vers l’apple store, pour les màj du système, des app, du stockage cloud (aka contacts, calendrier, données etc.). Donc un peu pour tout en fait. Vu que tout est centralisé.