Un développeur spécialisé dans les applications mobiles a repéré une faille de sécurité dans les popups sur iOS. Il fait observer que des tentatives de phishing pourraient l'exploiter pour récupérer les identifiants Apple des utilisateurs.

Après l’API qui a fait planter des dizaines d’applications sur iPhone au mois d’août 2017, les utilisateurs d’iOS feraient mieux de se méfier de popups frauduleuses. Lorsque vous téléchargez ou mettez à jour une app, vous avez probablement l’habitude de voir s’afficher sur l’écran cette fenêtre caractéristique vous invitant à remplir votre identifiant Apple — une manipulation de routine sur iOS.

Or, peut-être vaudrait-il mieux réfléchir à deux fois avant de remplir les informations demandées la prochaine fois qu’une popup surgit sur l’écran de votre appareil. En effet, selon les constatations d’un développeur, Felix Krause, des personnes mal intentionnées pourraient facilement créer des fausses popups visant à duper les utilisateurs.

Une faille de sécurité

Dans un article publié sur son blog le 10 octobre, Felix Krause note ainsi que les popups en question pourraient servir à subtiliser les identifiants des utilisateurs d’iOS. Le développeur compare une popup officielle, et une copie créée par ses soins, pour montrer que des tentatives de phishing pourraient trouver à s’appliquer au sein du système iOS.

Felix Krause

Felix Krause ne précise pas quel est le code source de la popup, afin de ne pas encourager les tentatives de phishing — il rappelle que la manœuvre est illégale et que sa publication a pour unique objectif d’alerter sur le problème de sécurité.

« iOS demande à l’utilisateur son mot de passe iTunes pour plusieurs raisons, les plus courantes étant les mises à jour du système d’exploitation iOS ou les applications iOS qui se bloquent pendant une installation. Par conséquent, les utilisateurs sont habitués à entrer leur identifiant Apple à chaque fois qu’iOS les y invite. Cependant, ces popups ne s’affichent pas seulement sur l’écran de verrouillage et l’écran d’accueil, mais également dans des applications aléatoires, par exemple pour accéder à iCloud, GameCenter ou pour des achats intégrés à des apps » fait observer le développeur.

En répliquant l’apparence de la boîte de dialogue caractéristique de ces popups, une tentative de phishing pourrait donc exploiter cette faille : le développeur estime que même les utilisateurs les plus technophiles pourraient avoir du mal à détecter de telles attaques.

Felix Krause

Pour s’en prémunir, Felix Krause conseille aux utilisateurs confrontés à une popup d’appuyer sur le bouton d’accueil de leur appareil, et de voir si l’app concernée se ferme. Si c’est le cas, et que la popup se ferme également au cours de la manœuvre, c’est qu’il s’agissait bien d’une tentative de phishing.

Dans le cas où l’app et la popup restent affichées à l’écran, vous pouvez communiquer votre identifiant en toute sécurité ; en effet, le développeur précise que les popups du système s’exécutent dans un processus indépendant, et non au sein d’une application iOS.

Partager sur les réseaux sociaux