Le danger des fenêtres de dialogue demandant le mot de passe Apple

Mickaël Bazoge | | 19:30 |  31

Les fenêtres d'alerte qu'iOS affiche de manière intempestive afin d'obtenir le mot de passe d'un identifiant Apple sont parfois un peu pénibles lorsqu'elles apparaissent au petit bonheur la chance. Mais c'est pire encore si ces mêmes pop-up servaient de leurres à des tentatives d'hameçonnage. Le développeur Felix Krause s'alarme de potentielles attaques par ce biais — fort heureusement, aucune n'a été référencée pour le moment.

Il est impossible de distinguer la vraie boîte de dialogue de la fausse. Cliquer pour agrandir

Pour éviter qu'un malandrin s'inspire de cette trouvaille, Krause ne fournit pas le code nécessaire pour l'affichage de ce type de fenêtre, mais ce dernier constate que l'attaque est « facile à répliquer », et même les yeux avertis d'un utilisateur aguerri peuvent s'y tromper : l'interface de la boîte de dialogue trompeuse est identique à son modèle.

La même chose dans une application. Cliquer pour agrandir

Pire encore, certaines boîtes « officielles » d'iOS, là aussi très faciles à reproduire par une app malicieuse, demandent d'entrer l'identifiant : une information précieuse qui peut ensuite servir à alimenter une seconde boîte réclamant le mot de passe. Exemple :

Cliquer pour agrandir

Les brigands qui s'adonneraient à cette méthode de phishing misent sur la mémoire musculaire des utilisateurs : ils ont en effet l'habitude de saisir machinalement et de façon presque automatique leur mot de passe quand cette fenêtre apparait. Pourtant, il n'est pas anodin de donner ce genre d'information : derrière se trouvent en effet de très sensibles données confidentielles, ne serait-ce que les renseignements bancaires.

Comment se protéger d'une telle attaque ? Le réflexe à avoir est de jouer la prudence et éviter de se précipiter pour saisir le mot de passe. En cliquant sur le bouton d'accueil, une boîte de dialogue authentique qui demande la saisie d'un mot de passe d'identifiant Apple reste affichée, tout comme l'app en dessous. Il faut toucher le bouton Annuler pour reprendre la main sur le système.

Appuyer sur le bouton d'accueil quand une fausse fenêtre de dialogue du même genre est à l'écran aura pour effet de revenir à l'écran d'accueil de l'iPhone ou de l'iPad. Cela signifiera que cette fenêtre est potentiellement dangereuse.

Felix Krause, qui a averti Apple du danger, a plusieurs propositions pour corriger le tir : demander la saisie du mot de passe dans les réglages et non pas au sein de la fenêtre de dialogue ; afficher dans la boîte de dialogue l'icône de l'app qui réclame l'identifiant, afin que l'utilisateur sache qui lui demande cette authentification — et la lui accorde, ou pas. Que cela n'exonère pas Apple de plancher sur la baisse de la fréquence d'affichage de cette boîte de dialogue.

Catégorie : 

Les derniers dossiers sur iGeneration

Ailleurs sur le Web


31 Commentaires Signaler un abus dans les commentaires

avatar ipaforalcus 10/10/2017 - 19:38 via iGeneration pour iOS

En je pense qu’ironiquement ces demandes intempestives sont là pour augmenter la sécurité :/

avatar MacGyver 11/10/2017 - 12:07 via iGeneration pour iOS

@ipaforalcus

Perso, je ne rempli jamais ces fenetres si je n ai pas moi meme sollicité qqchose (telechargement d app ou autre achat)

Je vois pas pourquoi le systeme puisses oser me demander mon mot de passe de maniere incongrue

On est pas sous windows que je sache

avatar EBLIS 11/10/2017 - 14:30 (edité)

"On est pas sous windows que je sache"

Encore une remarque bidon. Tu as déjà vu des fenêtres de ce genre demandant des mots de passe sous Windows ? Moi les seules que je vois sont celles sur mon Mac.

avatar ipaforalcus 10/10/2017 - 19:39 via iGeneration pour iOS

En plus*

avatar spm 10/10/2017 - 19:39

Intéressante cette astuce avec le bouton d'accueil pour savoir si la fenêtre de dialogue est fausse ou pas !

avatar Pomme2Poule 10/10/2017 - 22:41 via iGeneration pour iOS

@spm

+1, merci à vous pour l'astuce

avatar ptitm@lin 10/10/2017 - 19:46

Et je pense que cela peut fonctionner sur TV OS. Il y a aussi des demandes intempestive. Récemment plusieurs fois quand j'ai ouvert l'app Crunchyroll sur l'Apple TV.

Wait and see

avatar TKZ 10/10/2017 - 19:48 via iGeneration pour iOS

Plutôt inquiétant...
En effet pas mal l’astuce du bouton home!

avatar Tex-Twil 10/10/2017 - 19:50

Pardon mais Felix Krause n'est pas un "chercheur en sécurité" comme vous l'écrivez. Il n'a pas fait d'études en sécurité et encore mois de la recherche en sécurité. Il est dévelopeur Ruby / iOS ...
https://www.linkedin.com/in/krausefx/

avatar mobigeek 10/10/2017 - 19:49

Je ne compte plus le nombre de fois où cette fenêtre est apparue de façon intempestive chez moi, et ce depuis plusieurs années et jusqu'il y a peu encore... Heureusement je n'ai jamais été hameçonné !

avatar ecosmeri 10/10/2017 - 19:49 via iGeneration pour iOS

Et c'est pareil sur mac os, sécurité made by apple....
A chaque ouverture de ibook on me le demande

avatar fookmi 10/10/2017 - 19:58 via iGeneration pour iOS

@ecosmeri

Faux, les fenêtres de prompt dans Safari pour Mac OS se distinguent très clairement celles du système.

avatar 1Er0ck 11/10/2017 - 11:13

Les demandes de mot de passe dans iBooks sont insupportables

avatar pim 10/10/2017 - 19:52

C'est souvent les moyens les plus simples qui sont les plus efficaces !

avatar Ber16 10/10/2017 - 20:29 via iGeneration pour iOS

Le bouton d’accueil d’une boîte de dialogue...
Là, je ne comprends pas.
Dans la boîte de dialogue, il y a OK (ou un bouton de validation) ou ANNULER.
Peut-on me dire quel est le bouton d’accueil svp ???
Ce terme me semble obscure ou on a pas le même dictionnaire sous la main....
Merci pour l’éclaircissement !

avatar RomD 10/10/2017 - 20:33 via iGeneration pour iOS

@Ber16

Le bouton d’accueil est le seul bouton en façade sur ton iPhone, à moins d’avoir un iPhone X ;)

avatar Ber16 11/10/2017 - 00:18 via iGeneration pour iOS

@RomD

Merci RomD
Mais l’auteur de l’article parle du bouton d’accueil de la boîte de dialogue.
C’est donc graphique et non matériel.
Soit je ne comprends plus la terminologie, soit l’auteur parle de ce qu’il ne connaît pas (ce qui ne m’étonnerait pas sur ce site où l’on trouve le pire comme le meilleur).
Bref, je pensais trouver un sésame et encore une fois, cela me semble bien minable.

avatar hackroman 11/10/2017 - 02:02 via iGeneration pour iOS

@Ber16

Il parle bien du bouton d'accueil de l'iPhone, le bouton home...

avatar pivert42 11/10/2017 - 04:12 via iGeneration pour iOS (edité)

@Ber16

Vous êtes chicaneur
« Appuyer sur le bouton d'accueil (de l’iPhone )quand une fausse fenêtre de dialogue du même genre est à l'écran aura pour effet de revenir à l'écran d'accueil de l'iPhone ou de l'iPad. Cela signifiera que cette fenêtre est potentiellement dangereuse ».

Je ne vois pas où est le problème, mais vous aviez surtout envie de dire qu’ils étaient nuls...

avatar gwen 11/10/2017 - 06:00 via iGeneration pour iOS

@Ber16

C’est vrais, on trouve de tout sur ce site. La preuve vous êtes là.

avatar mat 1696 11/10/2017 - 06:29 via iGeneration pour iOS

@Ber16

Tu fais exprès ??! T'es un troll?

C'est quand même pas compliqué (et logique) à comprendre que le bouton d'accueil correspond... au bouton d'accueil. Il n'est jamais dit bouton d'accueil de la boîte de dialogue.

avatar Giloup 11/10/2017 - 18:44 via iGeneration pour iOS

@Ber16

Êtes-vous obligé d’être discourtois ?

avatar Stefou 10/10/2017 - 21:09 via iGeneration pour iOS

Petite astuce quand on vous demande un mot de passe « sensible » (comme la connexion à PayPal pour payer un achat) :
Entrer systématiquement un mauvais mot de passe.
Si le site est le vrai, le mot de passe sera rejeté et redemandé.
Un faux site se fera leurrer et enregistrera un mot de passe inutilisable.

avatar Ielvin 10/10/2017 - 21:28 via iGeneration pour iOS

@Stefou

Oui c’est vrai ça :)

avatar Giloup 11/10/2017 - 18:43 via iGeneration pour iOS

@Stefou

Bien vu !

avatar padeca 10/10/2017 - 21:13 via iGeneration pour iOS

Vivement une amélioration d'Apple

avatar aveal 10/10/2017 - 22:13 via iGeneration pour iOS

Pas mal, merci pour l’astuce !

avatar tchit 11/10/2017 - 00:16 via iGeneration pour iOS

Je ne tape jamais le mdp quand il est demandé. J'attends de voir que ça émane bien de mes réglages.

avatar Serge 001 11/10/2017 - 06:13

@Stefou

Bien vu. Ce sont souvent les astuces les plus simples qui sont les meilleures.

avatar Onizuka 11/10/2017 - 11:02

Une app n'a pas à vous demander votre mot de pass donc n'entrez jamais votre mdp dans une app.
C'est simple pourtant ^^

avatar Giloup 11/10/2017 - 18:41 via iGeneration pour iOS

J’ai toujours été surpris par ces fenêtres de dialogue intempestives qui réclame le mot de passe. Du reste je ne le saisis jamais car je n’ai pas confiance.
Je ne comprends pas qu’Apple n’est pas réglé ce problème en s’inspirant d’une solution comme celle d’obliger à aller dans les réglages...