Felix Krauze, fondateur de fastlane.tools, a publié un proof-of-concept concernant le vol du mot de passe des comptes iCloud sur iOS.
En fait, il ne s’agit pas vraiment d’un vol mais de simplement demander le mot de passe comme le fait (trop) souvent Apple. Vous êtes en effet très régulièrement invité à saisir votre mot de passe iCloud pour confirmer un achat d’app, la synchronisation de vos données ou un autre évènement qui nécessite l’accès à votre compte iCloud. Ces demandes sont si fréquentes qu’on y est totalement habitués.
Felix Krauze montre qu’il est possible de développer une app qui intègre une copie exacte de l’écran de saisie du mot de passe de iOS, au pixel près. Dès lors, il n’y a aucune raison de se méfier de cette autre demande qui est strictement identique à toutes les autres et hop, on saisit son mot de passe. Et hop, c’était en fait du phishing et pas une vraie demande d’Apple.
Voici les deux captures d’écran réalisées par Felix Krauze :
à gauche : la demande officielle d’IOS, à droite : le phishing
Bien sûr, il ne s’agit pas d’un bug d’iOS. Le problème se situe plutôt au niveau de la stratégie de sécurité mise en place par Apple : saisir un mot de passe très fréquemment contribue à abaisser le niveau de vigilance des utilisateurs et à leur faire préférer des mots de passe plus simples et plus courts. Le danger existe parce que nous sommes habitués à voir cette fenêtre apparaître très régulièrement et que nous indiquons toujours notre mot de passe iCloud sans quoi plus rien ne marche.
En attendant qu’Apple puisse trouver une réponse à cette situation, Felix Krauze explique que la seule méthode sûre lorsqu’il y a une demande de mot de passe de ce type est d’appuyer sur le bouton « home » :
- si la fenêtre de demande de mot de passe disparait et l’app également, il s’agissait d’un phishing
- si la fenêtre reste visible et que vous êtes obligés d’appuyer sur « Annuler » pour la faire disparaître, c’était une demande authentique de iOS
Il est recommandé de toujours annuler/quitter ces fenêtres qui surgissent et d’ouvrir manuellement les « Réglages » qui vous demanderont à leur tour le mot de passe le cas échéant. C’est la même règle de prudence que vous utilisez déjà pour les liens à cliquer dans les courriels : il est plus prudent de se rendre manuellement sur le site avec son navigateur préféré que d’utiliser le lien du message.
Et en attendant de meilleurs outils et une solution plus performante que les mots de passe actuels, c’est une raison de plus -s’il en fallait- pour activer l’authentification à deux facteurs dont je parle ici.