Une vulnérabilité dans l’application Mail d’Apple a été découverte en début d’année. Celle-ci permet de capturer l’identifiant et le mot de passe iCloud. Signalée à la firme de Cupertino, elle n’a toujours pas été corrigée. L’informaticien qui l’a repérée a donc décidé d’en publier les détails pour contraindre le groupe américain de sortir un correctif sans tarder.

Mauvaise nouvelle pour les utilisateurs de terminaux iOS. Cette semaine, un informaticien, Jan Soucek, a révélé l’existence d’une faiblesse dans Mail, le logiciel de gestion de courrier électronique développé par Apple. Exploitée par une personne mal intentionnée, elle peut servir à envoyer un mail de hameçonnage (« phishing ») afin de dérober l’identifiant et le mot de passe d’un compte iCloud.

Sur GitHub, où il a mis en ligne le détail de sa découverte, il explique que « le bug permet à du contenu HTML distant d’être chargé afin de remplacer le contenu initial du message reçu par mail. Le JavaScript est désactivé […], mais il est encore possible de mettre au point un ‘récupérateur’ de mots de passe fonctionnel en utilisant simplement du HTML et du CSS« .

Pour mieux illustrer le fonctionnement de la vulnérabilité, Jan Soucek a enregistré une petite vidéo :

Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par YouTube.
Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par YouTube avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus)

En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.

Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.

Gérer mes choix

Dans celle-ci, l’on peut voir qu’il est a priori assez aisé de duper l’utilisateur si le message frauduleux parvient à imiter le comportement qui est attendu d’iOS ainsi que son interface graphique. La victime, si elle est imprudente, peut alors renseigner son identifiant et son mot de passe dans les champs prévus à cet effet sans se douter qu’elle est la cible d’une tentative de hameçonnage.

Jan Soucek explique qu’il a découvert cette brèche il y a déjà plusieurs mois. Une notification a naturellement été envoyée à Apple le 15 janvier afin que l’entreprise américaine prenne les mesures adéquates pour la combler. Mais devant l’inaction du groupe, l’informaticien a décidé de changer d’approche en publiant ses travaux sur GitHub le 7 juin, dans l’espoir de forcer Apple à publier un correctif.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.