Les utilisateurs d’iOS doivent faire attention à un éventuel problème de sécurité. Les demandes du système pour le mot de passe du compte Apple peuvent en effet être copiées de manière très convaincante. Les utilisateurs peuvent cependant se prémunir contre la plupart des scénarios d’attaque.
C’est le développeur Felix Krause (auteur des outils Fastlane) qui a mis le doigt sur ce problème. Dans un billet de blog expliquant la situation, il pointe les petites fenêtres demandant à l’utilisateur de s’authentifier avec son compte Apple.
iOS affiche ce type de fenêtre de temps en temps. Apple essaye de limiter ces demandes au maximum, mais elles suivent un schéma prédéfini, surtout quand Touch ID ou Face ID sont impliqués (voir notre analyse). Par exemple, le mot de passe est réclamé quand l’utilisateur ne l’a pas saisi depuis un moment, que des tentatives d’identification biométrique ont raté, pour valider un achat sur le Store et ainsi de suite.
Des demandes de mots de passe bien trop semblables
Mais comme l’indique Krause, rien n’empêche actuellement une application tierce d’afficher une demande ayant exactement la même apparence. Il publie d’ailleurs les deux fenêtres côte à côte pour bien montrer la copie quasi conforme.
À gauche, la fenêtre légitime. À droite la demande malveillante. Dans le deuxième cas, l’adresse du compte Apple est déjà connue (l’attaquant doit se débrouiller pour l’obtenir), seul reste le mot de passe à saisir. En somme une tentative de phishing d'un genre un peu particulier.
Le développeur, soulignant le soin généralement apporté aux détails par Apple, ne comprend pas comment la firme peut laisser perdurer de tels comportements, potentiellement malveillants.
Une clé déverrouillant l'accès à de nombreuses données
Potentiellement, car le mot de passe pourrait être réclamé par des applications elles-mêmes malveillantes. Il faudrait pour cela qu’elles aient passé la barrière de l’App Store (ce qui n’a rien d’impossible), ou été installées depuis une source tierce sur un appareil « jailbreaké ». À partir de là, si l’utilisateur a donné ses identifiants, le pouvoir de nuisance du pirate est très élevé.
Le compte Apple fédère toute une galaxie de données via iCloud. Dans la grande majorité, ce dernier est activé et synchronise donc de nombreuses informations : contacts, messages, emails, réglages, liste des applications, données diverses, etc. Sans parler de la sauvegarde automatique pour chaque appareil (si tant est que l’espace gratuit de 5 Go ne soit pas déjà plein).
Le bouton Accueil permet de trier les demandes
Les utilisateurs ne sont cependant pas démunis face à ce danger. Si l’identification en deux étapes a été activée (et elle devrait toujours l’être), aucune connexion ne pourra se faire depuis un nouvel appareil sans qu’un code de sécurité ne soit réclamé. Si le pirate obtient les identifiants, c’est toujours l’utilisateur qui recevra les six chiffres qui valideront l’authentification. Ce n’est bien entendu pas une protection totalement étanche… puisqu’une application pourrait également réclamer le code.
De manière plus pratique, il existe un moyen simple de savoir si la demande affichée est légitime : appuyer sur le bouton Accueil. Si la fenêtre disparait avec son application, c’est qu’elle n’émanait pas d’iOS. Si elle reste affichée, c’est au contraire que le système attend le mot de passe pour finaliser une opération importante. Le cas de l'iPhone X, qui n'a plus ce bouton, sera d'ailleurs intéressant.
La procédure fonctionne dans la grande majorité des cas affirme le développeur. Mais la seule manière sûre en cas demande impromptue serait de repérer le service réclamant le mot de passe (quand c'est possible), refuser la demande, puis se rendre dans ce service pour cette fois la valider. Une procédure qui risque de sembler bien pénible aux utilisateurs.
Des contrôles propres à iOS ?
Côté Apple, Felix Krause souligne qu’il serait assez simple de remédier au problème. le fabricant n’aurait ainsi qu’à mettre en place une série de contrôles spécifiques au système et que les développeurs tiers ne seraient pas autorisés à copier. En clair, des fenêtres propres à iOS, qui ne laissent aucun doute sur leur provenance.
On imagine qu’Apple réfléchit à la question, même si elle ne s’est pour l’instant pas exprimée. On se doute également du problème sous-jacent. La société est connue pour maintenir les interactions utilisateur aussi longtemps que possible. Une fois qu’un élément UI/UX (interface ou expérience utilisateur) est en place, il y reste. Si les fenêtres d’authentification doivent changer, l’utilisateur pourrait bien se demander pourquoi « elles ne sont pas comme d’habitude », et donc s’en méfier… et ce d’autant plus que les applications malveillantes pourraient continuer à afficher des demandes classiques.
