Circulez, il n’y a rien à voir. C’est en substance la réaction d’Apple suite à la découverte de la faille « Masque Attack » par les chercheurs en sécurité de FireEye. Pour rappel, cette vulnérabilité permet de remplacer les applis installées sur iPhone ou iPad par des clones malveillants, sans que l’utilisateur ne remarque grand-chose. Les experts ont notifié cette faille auprès d’Apple le 26 juillet dernier. Ils ont décidé dévoiler l’attaque au public lundi dernier, car ils ont remarqué qu’elle « commençait à circuler ». Il y avait donc urgence, estiment-ils. D’ailleurs, le CERT US a publié, à son tour une alerte à propos de cette attaque.
Mais Apple relativise. « Nous ne sommes pas au courant d’un quelconque utilisateur victime de cette attaque », explique le fournisseur dans une déclaration envoyée par email. Et de précise : « Nous encourageons les clients à télécharger uniquement à partir de sources fiables comme l’App Store et de prêter attention à tous les avertissements lorsqu’ils téléchargent. » Les utilisateurs en entreprise, de leur côté, sont invités à ne télécharger leurs applications professionnelles « uniquement depuis le site sécurisé de leur employeur ».
En effet, avant qu’un clone malveillant ne puisse s’installer sur un terminal iOS, le système avertit l’utilisateur par une fenêtre d’alerte. Mais celle-ci est plutôt neutre : elle indique simplement qu’un site souhaite installer une application. Pas de quoi repousser un utilisateur négligent. Une deuxième alerte plus incisive apparait lorsque l’application est lancée pour la première fois. Le système informe alors que le logiciel provient d’un développeur inconnu auquel Apple ne fait pas confiance à priori. L’utilisateur est alors incité à accorder sa confiance ou non.
Il est bien que ces deux garde-fous existent. Mais il serait encore mieux qu’Apple comble cette faille de sécurité qui, rappelons, permet d’obtenir le contrôle total d’un appareil. Ce qui n’est pas rien.
Lire aussi:
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.