Dans iOS 18, Apple a transformé son gestionnaire de mots de passe Keychain en une application autonome appelée Passwords. Cependant, un grave bug HTTP a exposé les utilisateurs de Passwords à des attaques de phishing pendant près de trois mois, jusqu’à ce que la faille soit corrigée dans iOS 18.2 par Mysk, spécialiste en cybersécurité.
L’application Passwords d’Apple vulnérable aux attaques de phishing pendant près de trois mois
Dans iOS 18, Apple a transformé son outil de gestion de mots de passe Keychain, auparavant caché dans les Paramètres, en une application autonome baptisée Passwords. Cette initiative était la première d’Apple visant à faciliter la gestion des identifiants pour les utilisateurs. Il a récemment été révélé qu’un grave bug lié au protocole HTTP rendait les utilisateurs de l’application Passwords vulnérables aux attaques de phishing pendant près de trois mois, depuis le lancement initial d’iOS 18 jusqu’à la mise à jour de la version iOS 18.2.
Découverte de la faille
Des chercheurs en sécurité de Mysk ont découvert la faille après avoir remarqué que le Rapport de confidentialité des apps de leur iPhone indiquait que Passwords avait contacté un nombre impressionnant de 130 sites différents via un trafic HTTP non sécurisé. Cette observation les a poussés à approfondir leurs recherches. Ils ont découvert que l’application récupérait non seulement les logos et icônes des comptes via HTTP, mais qu’elle ouvrait également par défaut les pages de réinitialisation de mots de passe en utilisant ce protocole non chiffré. Mysk a déclaré à 9to5Mac que cette faille laissait l’utilisateur vulnérable : un attaquant ayant un accès privilégié au réseau pouvait intercepter la requête HTTP et rediriger l’utilisateur vers un site de phishing.
Démonstration et analyses
Mysk a fait une démonstration montrant comment une attaque de phishing pouvait être menée sur des appareils avant la mise à jour iOS 18.2. La vidéo illustre comment les requêtes HTTP peuvent être détournées pour rediriger vers des sites de phishing ressemblant à des pages légitimes comme celle de Microsoft live.com. Un attaquant peut ainsi facilement collecter les identifiants des victimes et lancer d’autres attaques.
Critiques à l’égard d’Apple
Mysk a exprimé sa surprise qu’Apple n’ait pas imposé par défaut l’usage de HTTPS pour une application aussi sensible. Ils ont également suggéré qu’Apple devrait fournir une option permettant aux utilisateurs soucieux de leur sécurité de désactiver complètement le téléchargement des icônes. Le fait que le gestionnaire de mots de passe envoie régulièrement des requêtes à chaque site pour lesquels l’utilisateur possède un mot de passe, même si ces requêtes ne contiennent pas d’ID, est également source d’inquiétude.
Fonctionnement normal du protocole HTTPS
De nos jours, la plupart des sites web modernes autorisent les connexions HTTP non chiffrées mais les redirigent automatiquement vers HTTPS à l’aide d’une redirection 301. Avant iOS 18, l’application Passwords envoyait une requête via HTTP qui était ensuite redirigée vers la version sécurisée HTTPS. Dans des conditions normales, cela ne poserait aucun problème, car les changements de mot de passe s’effectuent sur un site chiffré, garantissant que les identifiants ne sont pas transmis en clair.
Situation à risques
Toutefois, le risque survient lorsqu’un attaquant est connecté au même réseau que l’utilisateur (par exemple, dans un café tel que Starbucks, un aéroport ou un Wi-Fi d’hôtel). L’attaquant peut intercepter la requête HTTP initiale avant qu’elle ne soit redirigée. À partir de là, il peut manipuler le trafic de plusieurs manières. La démonstration de Mysk montre notamment comment un attaquant pourrait modifier la requête pour rediriger vers un site de phishing.
Correctif et diffusion de l’information
Bien que cette vulnérabilité ait été discrètement corrigée en décembre de l’année dernière, Apple ne l’a divulguée publiquement que récemment. L’application Passwords utilise désormais HTTPS par défaut pour toutes les connexions. Il est essentiel de s’assurer que vos appareils fonctionnent au moins sous iOS 18.2 afin de bénéficier de cette sécurité renforcée. Toutefois, il est probable que cette information passe relativement inaperçue. Partagez-la pour sensibiliser davantage !
Ce cas souligne l’importance de la vigilance en matière de sécurité, en particulier dans les applications manipulant des données sensibles comme les gestionnaires de mots de passe. Bien qu’Apple ait rectifié la situation, l’évènement met en lumière la nécessité de protocoles de sécurisation rigoureux dès le développement initial des logiciels.
Mon avis :
La transformation de l’outil Keychain d’Apple en une application autonome, Passwords, avec iOS 18, visait à simplifier la gestion des mots de passe. Cependant, une faille HTTP a exposé les utilisateurs au hameçonnage jusqu’à sa correction dans iOS 18.2. Ce problème souligne l’importance d’une sécurisation par défaut avec HTTPS, désormais mise en œuvre.
Les questions fréquentes :
Qu’est-ce que l’application Passwords dans iOS 18?
Dans iOS 18, Apple a transformé son outil de gestion de mots de passe Keychain en une application autonome appelée "Passwords". Cela représente un effort de l’entreprise pour rendre la gestion des identifiants plus pratique pour les utilisateurs.
Quel est le problème de sécurité qui a été découvert avec l’application Passwords?
Un bug sérieux a été découvert laissant les utilisateurs de l’application Passwords vulnérables aux attaques de phishing. Pendant près de trois mois, l’application a utilisé un trafic HTTP non sécurisé pour récupérer des logos de compte et ouvrir des pages de réinitialisation de mot de passe, ce qui permettait à un attaquant d’intercepter les requêtes et de rediriger les utilisateurs vers des sites de phishing.
Comment Apple a-t-il corrigé la faille de sécurité de l’application Passwords?
Apple a corrigé la faille de sécurité en décembre de l’année dernière en assurant que l’application Passwords utilise désormais HTTPS par défaut pour toutes les connexions. Les utilisateurs doivent s’assurer qu’ils exécutent au moins la version 18.2 de iOS sur leurs appareils pour être protégés.
Pourquoi est-ce un problème si l’application Passwords utilise HTTP au lieu de HTTPS?
L’utilisation de HTTP au lieu de HTTPS est problématique parce qu’un attaquant sur le même réseau (comme dans un café ou un aéroport) peut intercepter la requête initiale HTTP avant qu’elle ne soit redirigée vers HTTPS. Cela permet à l’attaquant de manipuler le trafic et de rediriger l’utilisateur vers un site de phishing, recueillant ainsi potentiellement des identifiants sensibles.
