iOS 8 a une méchante faille de sécurité dans Mail depuis janvier
L’application Mail dans iOS 8 souffre d’une faille de sécurité qui donne la possibilité à des malandrins de récupérer vos identifiants iCloud, ou autres informations personnelles.
Qui plus est, cette récupération se fait avec le concours actif de l’utilisateur, dupé par un message à l’allure familière.
Jan Soucek, à l’origine de la découverte de cette faille, explique que Mail interprète la balise meta http-equiv=refresh
qui peut figurer dans le code d’un mail formaté en HTML. Cette commande tout à fait standard a pour objet de rediriger un utilisateur vers une autre page HTML au bout d’un temps donné.
Jan Soucek a créé une démonstration baptisée “iOS 8.3 Mail.app inject kit” qui remplace le contenu du mail HTML reçu par un autre créé avec de l’HTML et des CSS, en l’occurence une alerte demandant d’entrer ses identifiants iCloud. La supercherie peut fonctionner si l’alerte est bien réalisée visuellement, en étant un minimum ressemblante à celles qu’iOS affiche assez régulièrement.

Une fois vos informations entrées et validées elles sont transmises à l’expéditeur du mail qui saura en faire bon usage. Cette faiblesse ne touche que Mail, pas les autres clients iOS de courrier électronique. Ce système est simple d’emploi et peut être aisément mis à profit par les spécialistes du phishing.
Jan Soucek a observé ce problème en janvier, il l’a signalé à Apple à la même date au travers d’un rapport de bug. Mais les mises à jours survenues depuis iOS 8.1.2 n’ont toujours apporté aucun correctif. De guerre lasse, il a mis en ligne les détails techniques de sa découverte.
Ouh, ça c'est moche (mais très intelligent)
Je crois que les signalements n'ont plus d'effet !
Sinon, la vraie fenêtre demande uniquement le mot de passe car l'identifiant Apple est déjà connu de la machine si les 2 sont demandés, c'est du fishing et donc oui de la faute de l'utilisateur (la dernière remarque c'est pour créer la polémique)
Pas de bug ou de faille chez apple. C'est sûrement la faute de l'utilisateur.
@Jerom722 :
Ah, un commentaire censé de ta part !
@Jerom722 :
En l'occurrence oui car faut être con pour mettre ses ID iCloud suite à l'ouverture d'un mail et d'une page internet lié à ce mail.
Y'a pas d'ouverture de page internet, c'est carrément un pop-up qui s'ouvre à partir de Mails si on en croit l'image d'illustration...
@Hideyasu :
Haha excellente remarque !
Ça m'embête quand même non pas d'entendre les éternels radoteurs les corbeaux qui planent au dessus d'Apple (et sûrement d'autres boîtes ou développeurs encore moins scrupuleux ) de pas comprendre la notion de remarque cons-truc-tive … quoi que ;)
C'est le piratage sociale quoi qu'on en dise le plus dangereux et pour ça une bonne éducation … ça se cultive.
Restez à l'écoute !
Et comment un utilisateur lambda sait que c'est l'email qui, en fait, affiche via une faille de sécurité dans le rendu HTML de Mail, une boite de dialogue qui ressemble en tout à une boite de dialogue parfaitement légitime ?
Croire que les gens qui, en particulier, sont adeptes de la simplicité façon "its works!" (pour pas dire parfois simplification) sont les mieux à même d'être sur leur garde alors que depuis longtemps on leur présente l'écosystème Apple comme plus sécurisé que les plateformes concurrentes, c'est se leurrer.
@Hideyasu :
Si tu connaissais le pourcentage de gens cons sur la toile...
Merci Apple de prendre en compte les failles de sécurité signalées ...
La réactivité d'Apple à protéger ses app en dit long sur ceux qu'ils ont a foutre de la sécurité de nos données. En plus on leur pré mâche le boulot.
Le pire c'est qu'il y en a qui attendent avec impatience l'arrivée d'Apple Pay...
C'est du phishing quoi : tromper l'utilisateur pour obtenir des informations.
Ben c'est plus que du phishing quand tu simule une alerte sur le téléphone... C'est bien une faille système
Preuve en est que cette faille ne fonctionne pas sur les autres clients mails
Mais bon ça va ça date de février y'a le temps, en plus connaissant la générosité d'apple le mec va être récompensé comme il se doit, deux clémentines et un bon d'achat pour le dernier album de colonel reyel sur itunes :)
Ce n'est pas une simulation d'alerte mais un mail dont le contenu mime une alerte.
"Simule"
"mime"
Merci de ta correction...
@Jerom722 :
Relis attentivement mon commentaire plutôt que de sauter sur le clavier pour raconter des bêtises.
Attention!! c'est l'utilisateur qui donne son log et pass, c'est pas mail.
Non, c'est bel et bien Mail qui :
1) exécute le code affichant le popup sur http-equiv=refresh
2) exécute la requête URL associé à un formulaire présent dans du HTML (alors qu'un client mail n'a pas à exécuter de formulaire dans un document HTML, mais à l'afficher, statiquement.
Par ailleurs, si cette faille permet d'afficher un formulaire, elle permet de facto d'afficher n'importe quoi d'autre qui, si c'est fidèlement reproduit graphiquement, peut induire toute personne à croire que ce qui est affiché l'est *volontairement* par Mail et non en exploitant une faille de sécurité de cette application.
Ios 8.4 te voilà
Oups il va être retarder le temps de corriger cette faille qui a été révélée !
sigh...
ça me rappelle pourquoi j'étais (philosophiquement ?) opposé à l'émergence des mails en HTML
parce que systématiquement vient la tentation d'utiliser le "superbe moteur de rendu html qu'on a développé qui est si fonctionnel, si riche, si merveilleux" et .. PAF effet de bord (il en fait + que ce qu'il devrait faire pour juste un COURRIER)
genre : Word comme moteur de rendu de Outlook (très très grosse connerie).
Bref éternel recommencement.
2 choses:
- il faudrait que les fenêtres de demandes d'identification iCloud soit plus claire sur leur origine (sur OS X on sait quelle application demande le mot de passe admin)
- il faudrait qu'Apple permette de connaître l'historique et la localisation des connexion avec l'Apple ID.
C'est pas un bug, c'est les utilisateurs qui tiennent mal leur iPhone quand ils utilisent Mail.
Dans le doute, mieux vaut changer son mot de passe Apple ID. Vraiment pas cool de la part d'Apple d'être aussi lent à réagir !
Toi qui ne sait même pas écrire le nom d'un personnage de film culte correctement tu vas réussir à retenir deux mots de passe différents ? :)
@Jerom722 :
Oui bien sûr. Mon nouveau mdp est Jerom722forever :-)
@Florian
Il est préférable d'employer l'expression "De guerre lasse" vs. "De lassitude".
Hope this helps,
T.
Sur mon iPad à chaque démarrage j'avais une boîte de dialogue comme ça me demandant mon MDP, le mail était pré-rempli... J'en ai eu marre j'ai fait annulé et depuis plus rien...
Dans le doute changement de mot de passe...
Merde. Je crois que je me suis fait avoir.
Le phénomène se passe uniquement depuis Mail ?
Le pop-up ne peut pas apparaître en dehors de l'application Mail ?
@Yoskiz :
Oui il apparaît sur le springboard pour ma part.
@comass :
Moi aussi sur le Soringboard donc pas de souci normalement.
Un changement de MDP est peut être préférable quand même...
N'oublions pas qu'un mot de passe complexe et long est bien plus efficace :-)
Je viens de changer mon mot de passe. L' Watch m'a aussi demandé un mot de passe iCloud. Bizarre.
@comass :
C'est normal je pense, j'ai changé mon MDP il y a quelque temps et l'Apple Watch me l'avais également demandé.
J'ai télécharger une merde sur mon PC de bureau. j'utilise Chrome comme navigateur , maintenant il est bouffé de virus. Mon ID dans Chrome est le même que mon ID
peut être que le hacker m'a envoyé ça sur iOS.
--> en passant par Chrome.
Il aurait utilisé plusieurs techniques pour arriver à ce résultat (?)
Très dangereux. Quand on voit ce pop up dans iOS on se pose pas de question et on rentre machinalement son MDP.
ne pas oublier que l'ID sert aussi à entrer dans notre compte de l'Apple Store en ligne ; et qu'à ce moment précis la 2 step validation n'est pas requise --> de la le hacker peut commander du matos et se les faire livrer aux frais de la princesse.
Très très méchant ce mécanisme, je conseil à tous de modifier votre MDP sur le champs, même avec une validation en 2 étapes activée.
CQFD
La 2 step n'est pas requise non plus pour Localiser mon iPhone. Le hacker peut donc bloquer tout appareil iOS à distance. Je crois que MacG avait fait un article dessus.
les gens qui deviennent paranoïaques d'un coup.
dans la vrai annonce le mail (ID Apple) est toujours rempli (la première case), y en a que le mot de passe qui est demandé. (quand on active l'iPhone au début, après l'achat ou une restauration) l'ID Apple est demandé et enregistré dans la machine, l'iOS). le deuxième commentaire l'explique déjà.
les mails c'est pareil. dans les mails officiels (site marchands, banque en ligne, etc), le non et le prénom de la personne sont rempli. dans les mails sans nom, prénom, (en plus avec des fautes d'orthographe et syntaxe) il faut pas cliquer.
@marenostrum :
C'est possible de cibler une victime en envoyant un pop up dans lequel figure déjà l'ID
de la il n'y a plus que son MDP a taper.
Les hacker peuvent s'améliorer non ? Ils peuvent aussi être bon en orthographe ou se faire faire des correction de texte
en fait ils doivent connaitre beaucoup de paramètres pour passer inaperçus. ID seul + mot de passe, n'est pas suffisant à mon avis.
Apple envoie des mails, presque immédiatement, pour chaque achat effectué dans sa boutique en ligne. en plus au moment de l'achat, il faut reinsegner le numéro de la carte de credit (par default il est pas mémorisé). je crois que ça se fait pas automatiquement (comme c'est le cas chez Amazon). il faut activé la caisse exprès ou quelque chose comme ça, pour que ça marche sans numéro de carte de credit.
C'est quand même inadmissible grrr !
¸¸·¯·¸¸·¯·¸¸ Et ça continu encore et encore, c'est que le début d'accord d'accord ... ¸¸·¯·¸¸·¯·¸¸
Pas très malin de détailler comment faire sachant que la faille est pas encore corrigé. J'espère que les mauvais esprit ne traînent pas sur Macg
Le risque peut être possible pour un utilisateur novice.
apple id est généré automatiquement
Après toute connexion à partir d une machine non référencée vous adresse un mail d Apple. vous devez aussi valider par un appareil certifié.
Le risque le plus important serait la lecture de ce mail dans un navigateur.
Une règle simple et très efficace que l on peut utiliser, est de donner un mot de passe erroné sur le premier login. Si on n a pas le retour du login, le site est frauduleux.
Apple, un environnement sécurisé?
De toute façon les mails html c'est direct poubelle.
Une des grosses plaies sur internet avec Flash et les pub animées en boucle.
Il me semble que lorsque Apple demande le mot de passe sur iOS tout ce qui est affiché sur l'écran de l'iPhone est grisé hors mis bien-sûr la fenêtre de dialogue demandant le mot de passe. Hors sur la vidéo explicative ont vois bien qu'une partie de mail reste active comme si ont pouvait faire deux choses à la fois ( revenir à la boîte mail précédente et taper le mot de passe apple ). Lorsqu' Apple le demande vous ne pouvais rien faire d'autre à l'écran un peu comme lorsque vous taper votre code PIN. De plus cette même fenêtre de dialogue et toujours centré bien au milieu de l'iPhone ( parfaite symétrie :)) et ne bouge pas, hors encore une fois sur la vidéo ont vois bien que celle ci accompagne le mouvement de mail
D'ici quelques heures, les fanboys Apple auront de toute manière oublié cette faille et cracheront sur Android et ses "virus".