Une faille critique enfin corrigée
Les chercheurs en cybersécurité de Mysk ont découvert une vulnérabilité majeure dans l’application Mots de passe d’Apple. Cette faille, présente depuis plusieurs années, permettait aux attaquants d’intercepter des requêtes non sécurisées envoyées par l’application afin de rediriger les utilisateurs vers des pages de phishing. Bien que la faille ait été corrigée avec iOS 18.2, elle a exposé les utilisateurs d’iPhone à des risques élevés durant une longue période.
Une vulnérabilité qui date d’iOS 14
Selon Mysk, cette faille remonte à iOS 14, bien avant que Mots de passe ne devienne une application à part entière avec iOS 18. Le problème provient du fait qu’Apple utilisait par défaut le protocole HTTP non sécurisé pour récupérer des icônes et des logos de sites web associés aux comptes enregistrés. Une décision surprenante pour une application gérant des données sensibles.
Les chercheurs expliquent que cette faille ne se limitait pas à l’affichage des icônes. Les pages de réinitialisation de mot de passe étaient également concernées, ce qui exposait encore davantage les utilisateurs à des attaques de phishing.
Un risque accru sur les réseaux Wi-Fi publics
L’utilisation du protocole HTTP signifie que les données circulent sans chiffrement, les rendant vulnérables à l’interception par des attaquants connectés au même réseau Wi-Fi. Ainsi, un pirate pouvait modifier ces requêtes pour rediriger l’utilisateur vers un faux site, par exemple une page imitant Microsoft ou un autre service populaire. Les victimes, persuadées d’être sur un site légitime, pouvaient alors saisir leurs identifiants, offrant ainsi un accès direct à leurs comptes.
Ce type d’attaque est particulièrement dangereux dans les réseaux Wi-Fi publics comme ceux des cafés, hôtels ou aéroports, où les connexions non sécurisées sont monnaie courante.
Apple accusé de négligence
L’approche d’Apple a étonné les experts en cybersécurité. Pour une entreprise qui met en avant la protection des données personnelles, ne pas imposer le protocole HTTPS par défaut dans une application aussi critique est une erreur majeure.
« Nous avons été surpris qu’Apple n’ait pas appliqué le HTTPS par défaut pour une application aussi sensible. De plus, Apple devrait offrir une option permettant aux utilisateurs de désactiver complètement le téléchargement des icônes. »
– Mysk
En plus du manque de chiffrement, l’application Mots de passe était configurée pour effectuer des requêtes fréquentes aux sites web enregistrés, augmentant ainsi le risque d’interception de données.
Un correctif avec iOS 18.2
Alerté par les chercheurs de Mysk, Apple a finalement réagi en intégrant un correctif dans iOS 18.2. La mise à jour impose désormais l’utilisation du protocole HTTPS, empêchant ainsi les interceptions de données en texte clair.
Sur son site officiel, Apple reconnaît que « un utilisateur dans une position privilégiée du réseau peut être en mesure de divulguer des informations sensibles ». La firme mentionne aussi une seconde faille, liée à la première, qui pouvait permettre à un attaquant de modifier le trafic réseau.
Apple précise que le problème a été résolu en remplaçant HTTP par HTTPS lors des transmissions d’informations. Si cette correction était attendue, elle arrive tardivement, après plusieurs années de vulnérabilité.
Une faille longtemps ignorée
La mise en lumière de cette faille soulève des questions sur la politique de sécurité d’Apple. Pourquoi une entreprise aussi soucieuse de la confidentialité des données a-t-elle ignoré cette faiblesse pendant des années ?
Bien que la correction avec iOS 18.2 soit une amélioration majeure, elle souligne aussi un manque de vigilance dans la conception et l’évolution du gestionnaire de mots de passe. Les utilisateurs doivent donc toujours se montrer prudents, même avec des applications censées protéger leurs informations sensibles.
