Passer au contenu

Une faille dans Apple Mail permet de voler des millions d’identifiants iCloud

Le client de messagerie sur iOS permet de recevoir des emails dont le contenu se modifie après chargement. Un chercheur en sécurité s’est appuyé sur ce bug pour imaginer une attaque de phishing sur iCloud.

Utilisateurs d’iPhone ou d’iPad, prenez gare à vos identifiants. Le chercheur en sécurité Jan Soucek a découvert dans l’application Apple Mail, le client de messagerie par défaut sur iOS, un joli bug qui lui permet de simuler une fenêtre pop-up pour une demande d’identifiant et de mot de passe iCloud. L’utilisateur pourrait n’y voir que du feu, car ces fenêtres apparaissent régulièrement sur le système mobile d’Apple. Le chercheur a réalisé une vidéo de démonstration et a publié son code d’exploit sur GitHub.

La faille réside dans la fait que l’application Mail laisse passer un certain type de tag HTML () qui permet de remplacer le contenu du message par un autre après chargement. Ce qui n’est pas possible sur d’autres clients de messagerie tel que Gmail ou Outlook. En utilisant ce bug dans le cadre d’un formulaire de demande de mot de passe, on a l’impression de voir apparaître une fenêtre pop-up, alors qu’il s’agit en réalité d’un banal formulaire HTML, mais joliment mis en page. C’est d’autant plus crédible que ce formulaire n’apparaîtra que sur un terminal iOS.

Jan Soucek est tombé sur cette faille en janvier dernier. Il a prévenu Apple, mais ce dernier n’a publié aucun correctif à ce jour. C’est pourquoi il a décidé de rendre cette information publique. La faille concernerait au minimum les versions 8.1.2 et supérieures. Des millions de terminaux sont donc concernés. Il faut espérer qu’elle sera comblée avec l’arrivée d’iOS 9.

Lire aussi :

Apple présente iOS 9, son futur système d’exploitation mobile, le 08/06/2015

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert Kallenborn