Alerte sécurité iOS : une API ouvre la voie au phishing
Par des applications mobiles tierces

Dans l’univers de la marque à la pomme, l’insertion du mot de passe associé à l’identifiant Apple s’étend à bon nombre de situations. Mécanisme de sécurité instauré à tort ou à raison ? C’est un autre débat. Ce qu’il faut souligner dans l’immédiat est que cet état de choses crée ce qui s’appelle la routine. Le mot de passe requis est en effet saisi à la va-vite par les utilisateurs dans la plupart des cas. Felix Krause, un développeur iOS, signale qu’il faut en particulier être regardant en ce qui concerne les applications tierces qui formulent ce type de demande.

D’après le développeur, une application tierce peut abuser de l’API iOS UIAlertController pour générer une invite de mot de passe qui ressemble en tous points à celle générée par iOS lui-même. La faille n’aurait pas encore été mise à profit, mais il a produit une preuve de concept et, d’après ce que rapporte le magazine Vice à ce sujet, il suffit d’une trentaine de lignes de code sous iOS 11 pour parvenir au résultat que l’on a sur les images ci-dessous. « Même les utilisateurs les plus avertis en matière de technologie auraient du mal à détecter qu’il s’agit d’invites malicieuses », écrit-il à ce propos dans son billet de blog.

Nom : iOS fake.png
Affichages : 978
Taille : 133,3 Ko

À qui la faute ? D’après le développeur, à Apple ou plutôt, à l’interface utilisateur d’iOS qui ne fait pas de distinguo entre invites système et celles générées par des applications tierces. D’après ce qui ressort de ces développements, iOS 11 exhibe tous les ingrédients pour favoriser le phishing par des applications tierces, une filière qui, d’après lui, est en plein essor.

Le processus de vérification des applications en vigueur sur l’AppStore devrait protéger les utilisateurs contre les applications tierces contenant du code de ce type. Felix Krause précise toutefois qu’il y a toujours un moyen pour une organisation criminelle de contourner des mécanismes de protection, toute chose qui fait qu’il propose un ensemble de mesures préventives :

  • presser sur le bouton « home » dans le cas de l’apparition d’une boîte de dialogue suspecte. S’il s’agit d’une attaque par phishing, l’invite et l’application devraient se fermer ; dans le cas contraire, l’utilisateur remarquera une persistance de l’invite ;
  • procéder à la saisie du mot de passe d’application lié à l’identifiant Apple dans l’application système uniquement.

D’après Felix Krause, l’activation de l’authentification à deux facteurs peut, elle aussi venir allonger la liste des mesures précédentes. Il faudrait néanmoins se souvenir que du code malicieux peut être mis à profit pour requérir le code de protection de second niveau de l’utilisateur. On imagine très bien que des utilisateurs imprudents iront au bout de la procédure.

Sources : billet de blog, Vice

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Un hacker publie la présumée clé de déchiffrement du firmware de l'Apple Secure Enclave, le coprocesseur responsable de la sécurisation de Touch ID
Un spécialiste en sécurité dresse la liste des applications iOS et Android qui sont le plus interdites en entreprise, WhatsApp vient en tête sur iOS