Le nouveau clavier fourni avec iOS propose une saisie prédictive. Baptisée QuickType, la fonctionnalité ratisse manifestement très large, puisque des utilisateurs ont constaté que leur mot de passe pouvait apparaître en clair dans les suggestions. Or ce bug peut poser des problèmes de sécurité.

Avec iOS 8, Apple a revu et corrigé le fonctionnement de son clavier natif en y ajoutant une option de saisie prédictive. Baptisée QuickType, celle-ci est impressionnante sur le papier : elle est capable de suggérer de nouveaux termes au fur et à mesure de l'écriture d'un message, en prenant en compte non seulement le destinataire mais aussi le contexte de la discussion et le style de l'émetteur.

QuickType est présenté ainsi par Apple : "le moteur de texte prédictif d’iOS 8 est optimisé pour différentes langues du monde. Ce qui signifie que vous pourrez voir des suggestions de termes et d’expressions couramment utilisés dans votre langue. Au fil du temps, votre clavier apprendra votre façon de communiquer, identifiera vos expressions préférées et suggérera le mot qui, en toute logique, devrait suivre".

Cette fonctionnalité n'est pas obligatoire. Elle peut être désactivée dans les paramètres du terminal (Réglages > Général > Clavier) et relancée à tout moment. Dans ce cas de figure, le système recommencera à mémoriser au fur et à mesure le style de l'usager afin de fournir des suggestions les plus pertinentes possibles lorsqu'il aura de nouveaux échanges avec ses contacts.

Des usagers de QuickType ont toutefois remarqué que la saisie prédictive peut suggérer leur mot de passe en clair parmi les trois propositions qui s'affichent à l'écran. Sur les témoignages relevés par le site Quartz, deux d'entre eux ont précisé qu'ils n'utilisent pas de nom commun comme mot de passe. Autrement dit, il ne peut pas figurer dans le dictionnaire utilisé par QuickType. Il a donc été retenu.

Comme d'autres claviers similaires (Swype, Swiftkey, le clavier Google d'Android…), QuickType analyse les mots entrés dans les champs de saisis. Mais Apple ne semble pas avoir pris le soin de s'interdire cette fonctionnalité dans les champs HTML de type "password", censés être protégés. Il les traite comme n'importe quel champ de saisie, et enregistre donc sur le mobile ce qui y est inscrit, en clair.

Le principal risque causé par le bug est pour les utilisateurs qui ne verrouillent pas leur téléphone et l'égarent. Quiconque met la main dessus pourrait tenter de trouver les mots de passe.Il faut aussi se méfier des regards indiscrets par dessus l'épaule. Enfin, Apple ne semble pas synchroniser les "prédictions" avec iCloud, mais une sauvegarde intégrale du téléphone envoie ces données vers iCloud. Avec donc, potentiellement, des mots de passe visibles en clair.

Partager sur les réseaux sociaux

Articles liés