Une vulnérabilité dans l'application Mail d'Apple a été découverte en début d'année. Celle-ci permet de capturer l'identifiant et le mot de passe iCloud. Signalée à la firme de Cupertino, elle n'a toujours pas été corrigée. L'informaticien qui l'a repérée a donc décidé d'en publier les détails pour contraindre le groupe américain de sortir un correctif sans tarder.

Mauvaise nouvelle pour les utilisateurs de terminaux iOS. Cette semaine, un informaticien, Jan Soucek, a révélé l'existence d'une faiblesse dans Mail, le logiciel de gestion de courrier électronique développé par Apple. Exploitée par une personne mal intentionnée, elle peut servir à envoyer un mail de hameçonnage ("phishing") afin de dérober l'identifiant et le mot de passe d'un compte iCloud.

Sur GitHub, où il a mis en ligne le détail de sa découverte, il explique que "le bug permet à du contenu HTML distant d'être chargé afin de remplacer le contenu initial du message reçu par mail. Le JavaScript est désactivé […], mais il est encore possible de mettre au point un 'récupérateur' de mots de passe fonctionnel en utilisant simplement du HTML et du CSS".

Pour mieux illustrer le fonctionnement de la vulnérabilité, Jan Soucek a enregistré une petite vidéo :

Dans celle-ci, l'on peut voir qu'il est a priori assez aisé de duper l'utilisateur si le message frauduleux parvient à imiter le comportement qui est attendu d'iOS ainsi que son interface graphique. La victime, si elle est imprudente, peut alors renseigner son identifiant et son mot de passe dans les champs prévus à cet effet sans se douter qu'elle est la cible d'une tentative de hameçonnage.

Jan Soucek explique qu'il a découvert cette brèche il y a déjà plusieurs mois. Une notification a naturellement été envoyée à Apple le 15 janvier afin que l'entreprise américaine prenne les mesures adéquates pour la combler. Mais devant l'inaction du groupe, l'informaticien a décidé de changer d'approche en publiant ses travaux sur GitHub le 7 juin, dans l'espoir de forcer Apple à publier un correctif.

Partager sur les réseaux sociaux

Plus de vidéos