iOS 8 a une méchante faille de sécurité dans Mail depuis janvier

Florian Innocente |

L’application Mail dans iOS 8 souffre d’une faille de sécurité qui donne la possibilité à des malandrins de récupérer vos identifiants iCloud, ou autres informations personnelles.

Qui plus est, cette récupération se fait avec le concours actif de l’utilisateur, dupé par un message à l’allure familière.

Jan Soucek, à l’origine de la découverte de cette faille, explique que Mail interprète la balise meta http-equiv=refresh qui peut figurer dans le code d’un mail formaté en HTML. Cette commande tout à fait standard a pour objet de rediriger un utilisateur vers une autre page HTML au bout d’un temps donné.

Jan Soucek a créé une démonstration baptisée “iOS 8.3 Mail.app inject kit” qui remplace le contenu du mail HTML reçu par un autre créé avec de l’HTML et des CSS, en l’occurence une alerte demandant d’entrer ses identifiants iCloud. La supercherie peut fonctionner si l’alerte est bien réalisée visuellement, en étant un minimum ressemblante à celles qu’iOS affiche assez régulièrement.

Une alerte fabriquée de toutes pièces

Une fois vos informations entrées et validées elles sont transmises à l’expéditeur du mail qui saura en faire bon usage. Cette faiblesse ne touche que Mail, pas les autres clients iOS de courrier électronique. Ce système est simple d’emploi et peut être aisément mis à profit par les spécialistes du phishing.

Jan Soucek a observé ce problème en janvier, il l’a signalé à Apple à la même date au travers d’un rapport de bug. Mais les mises à jours survenues depuis iOS 8.1.2 n’ont toujours apporté aucun correctif. De guerre lasse, il a mis en ligne les détails techniques de sa découverte.


avatar Strix | 

Ouh, ça c'est moche (mais très intelligent)

avatar frankm | 

Je crois que les signalements n'ont plus d'effet !

Sinon, la vraie fenêtre demande uniquement le mot de passe car l'identifiant Apple est déjà connu de la machine si les 2 sont demandés, c'est du fishing et donc oui de la faute de l'utilisateur (la dernière remarque c'est pour créer la polémique)

avatar Jerom722 | 

Pas de bug ou de faille chez apple. C'est sûrement la faute de l'utilisateur.

avatar Domsware | 

@Jerom722 :
Ah, un commentaire censé de ta part !

avatar Hideyasu | 

@Jerom722 :
En l'occurrence oui car faut être con pour mettre ses ID iCloud suite à l'ouverture d'un mail et d'une page internet lié à ce mail.

avatar Jerom722 | 

Y'a pas d'ouverture de page internet, c'est carrément un pop-up qui s'ouvre à partir de Mails si on en croit l'image d'illustration...

avatar ovea | 

@Hideyasu :
Haha excellente remarque !

Ça m'embête quand même non pas d'entendre les éternels radoteurs les corbeaux qui planent au dessus d'Apple (et sûrement d'autres boîtes ou développeurs encore moins scrupuleux ) de pas comprendre la notion de remarque cons-truc-tive … quoi que ;)

C'est le piratage sociale quoi qu'on en dise le plus dangereux et pour ça une bonne éducation … ça se cultive.

Restez à l'écoute !

avatar byte_order | 

Et comment un utilisateur lambda sait que c'est l'email qui, en fait, affiche via une faille de sécurité dans le rendu HTML de Mail, une boite de dialogue qui ressemble en tout à une boite de dialogue parfaitement légitime ?

Croire que les gens qui, en particulier, sont adeptes de la simplicité façon "its works!" (pour pas dire parfois simplification) sont les mieux à même d'être sur leur garde alors que depuis longtemps on leur présente l'écosystème Apple comme plus sécurisé que les plateformes concurrentes, c'est se leurrer.

avatar Strix | 

@Hideyasu :
Si tu connaissais le pourcentage de gens cons sur la toile...

avatar sangoke | 

Merci Apple de prendre en compte les failles de sécurité signalées ...

avatar rimshot | 

La réactivité d'Apple à protéger ses app en dit long sur ceux qu'ils ont a foutre de la sécurité de nos données. En plus on leur pré mâche le boulot.

avatar bibi81 | 

Le pire c'est qu'il y en a qui attendent avec impatience l'arrivée d'Apple Pay...

avatar Domsware | 

C'est du phishing quoi : tromper l'utilisateur pour obtenir des informations.

avatar Jerom722 | 

Ben c'est plus que du phishing quand tu simule une alerte sur le téléphone... C'est bien une faille système

Preuve en est que cette faille ne fonctionne pas sur les autres clients mails

Mais bon ça va ça date de février y'a le temps, en plus connaissant la générosité d'apple le mec va être récompensé comme il se doit, deux clémentines et un bon d'achat pour le dernier album de colonel reyel sur itunes :)

avatar Domsware | 

Ce n'est pas une simulation d'alerte mais un mail dont le contenu mime une alerte.

avatar Jerom722 | 

"Simule"

"mime"

Merci de ta correction...

avatar Domsware | 

@Jerom722 :
Relis attentivement mon commentaire plutôt que de sauter sur le clavier pour raconter des bêtises.

avatar PINOCU | 

Attention!! c'est l'utilisateur qui donne son log et pass, c'est pas mail.

avatar byte_order | 

Non, c'est bel et bien Mail qui :
1) exécute le code affichant le popup sur http-equiv=refresh
2) exécute la requête URL associé à un formulaire présent dans du HTML (alors qu'un client mail n'a pas à exécuter de formulaire dans un document HTML, mais à l'afficher, statiquement.

Par ailleurs, si cette faille permet d'afficher un formulaire, elle permet de facto d'afficher n'importe quoi d'autre qui, si c'est fidèlement reproduit graphiquement, peut induire toute personne à croire que ce qui est affiché l'est *volontairement* par Mail et non en exploitant une faille de sécurité de cette application.

avatar Ginger bread | 

Ios 8.4 te voilà

avatar frankm | 

Oups il va être retarder le temps de corriger cette faille qui a été révélée !

avatar oomu | 

sigh...

ça me rappelle pourquoi j'étais (philosophiquement ?) opposé à l'émergence des mails en HTML

parce que systématiquement vient la tentation d'utiliser le "superbe moteur de rendu html qu'on a développé qui est si fonctionnel, si riche, si merveilleux" et .. PAF effet de bord (il en fait + que ce qu'il devrait faire pour juste un COURRIER)

genre : Word comme moteur de rendu de Outlook (très très grosse connerie).

Bref éternel recommencement.

avatar austinforest | 

2 choses:
- il faudrait que les fenêtres de demandes d'identification iCloud soit plus claire sur leur origine (sur OS X on sait quelle application demande le mot de passe admin)
- il faudrait qu'Apple permette de connaître l'historique et la localisation des connexion avec l'Apple ID.

avatar TechGirl | 

C'est pas un bug, c'est les utilisateurs qui tiennent mal leur iPhone quand ils utilisent Mail.

avatar EmmetBrown | 

Dans le doute, mieux vaut changer son mot de passe Apple ID. Vraiment pas cool de la part d'Apple d'être aussi lent à réagir !

avatar Jerom722 | 

Toi qui ne sait même pas écrire le nom d'un personnage de film culte correctement tu vas réussir à retenir deux mots de passe différents ? :)

avatar EmmetBrown | 

@Jerom722 :
Oui bien sûr. Mon nouveau mdp est Jerom722forever :-)

avatar Theibaud | 

@Florian

Il est préférable d'employer l'expression "De guerre lasse" vs. "De lassitude".

Hope this helps,

T.

avatar Yoskiz (non vérifié) | 

Sur mon iPad à chaque démarrage j'avais une boîte de dialogue comme ça me demandant mon MDP, le mail était pré-rempli... J'en ai eu marre j'ai fait annulé et depuis plus rien...

Dans le doute changement de mot de passe...

avatar comass | 

Merde. Je crois que je me suis fait avoir.

avatar Yoskiz (non vérifié) | 

Le phénomène se passe uniquement depuis Mail ?

Le pop-up ne peut pas apparaître en dehors de l'application Mail ?

avatar comass | 

@Yoskiz :
Oui il apparaît sur le springboard pour ma part.

avatar Yoskiz (non vérifié) | 

@comass :
Moi aussi sur le Soringboard donc pas de souci normalement.

Un changement de MDP est peut être préférable quand même...

N'oublions pas qu'un mot de passe complexe et long est bien plus efficace :-)

avatar comass | 

Je viens de changer mon mot de passe. L' Watch m'a aussi demandé un mot de passe iCloud. Bizarre.

avatar Yoskiz (non vérifié) | 

@comass :
C'est normal je pense, j'ai changé mon MDP il y a quelque temps et l'Apple Watch me l'avais également demandé.

avatar comass | 

J'ai télécharger une merde sur mon PC de bureau. j'utilise Chrome comme navigateur , maintenant il est bouffé de virus. Mon ID dans Chrome est le même que mon ID 

peut être que le hacker m'a envoyé ça sur iOS.

--> en passant par Chrome.

Il aurait utilisé plusieurs techniques pour arriver à ce résultat (?)

avatar comass | 

Très dangereux. Quand on voit ce pop up dans iOS on se pose pas de question et on rentre machinalement son MDP.
ne pas oublier que l'ID  sert aussi à entrer dans notre compte de l'Apple Store en ligne ; et qu'à ce moment précis la 2 step validation n'est pas requise --> de la le hacker peut commander du matos et se les faire livrer aux frais de la princesse.

Très très méchant ce mécanisme, je conseil à tous de modifier votre MDP  sur le champs, même avec une validation en 2 étapes activée.

CQFD

avatar comass | 

La 2 step n'est pas requise non plus pour Localiser mon iPhone. Le hacker peut donc bloquer tout appareil iOS à distance. Je crois que MacG avait fait un article dessus.

avatar marenostrum | 

les gens qui deviennent paranoïaques d'un coup.

dans la vrai annonce le mail (ID Apple) est toujours rempli (la première case), y en a que le mot de passe qui est demandé. (quand on active l'iPhone au début, après l'achat ou une restauration) l'ID Apple est demandé et enregistré dans la machine, l'iOS). le deuxième commentaire l'explique déjà.

les mails c'est pareil. dans les mails officiels (site marchands, banque en ligne, etc), le non et le prénom de la personne sont rempli. dans les mails sans nom, prénom, (en plus avec des fautes d'orthographe et syntaxe) il faut pas cliquer.

avatar comass | 

@marenostrum :
C'est possible de cibler une victime en envoyant un pop up dans lequel figure déjà l'ID 

de la il n'y a plus que son MDP a taper.

Les hacker peuvent s'améliorer non ? Ils peuvent aussi être bon en orthographe ou se faire faire des correction de texte

avatar marenostrum | 

en fait ils doivent connaitre beaucoup de paramètres pour passer inaperçus. ID seul + mot de passe, n'est pas suffisant à mon avis.
Apple envoie des mails, presque immédiatement, pour chaque achat effectué dans sa boutique en ligne. en plus au moment de l'achat, il faut reinsegner le numéro de la carte de credit (par default il est pas mémorisé). je crois que ça se fait pas automatiquement (comme c'est le cas chez Amazon). il faut activé la caisse exprès ou quelque chose comme ça, pour que ça marche sans numéro de carte de credit.

avatar supermars | 

C'est quand même inadmissible grrr !

avatar hackarien | 

¸¸·¯·¸¸·¯·¸¸ Et ça continu encore et encore, c'est que le début d'accord d'accord ... ¸¸·¯·¸¸·¯·¸¸

avatar Gregoryen | 

Pas très malin de détailler comment faire sachant que la faille est pas encore corrigé. J'espère que les mauvais esprit ne traînent pas sur Macg

avatar broc_058 | 

Le risque peut être possible pour un utilisateur novice.
apple id est généré automatiquement
Après toute connexion à partir d une machine non référencée vous adresse un mail d Apple. vous devez aussi valider par un appareil certifié.
Le risque le plus important serait la lecture de ce mail dans un navigateur.
Une règle simple et très efficace que l on peut utiliser, est de donner un mot de passe erroné sur le premier login. Si on n a pas le retour du login, le site est frauduleux.

avatar poco | 

Apple, un environnement sécurisé?
De toute façon les mails html c'est direct poubelle.

Une des grosses plaies sur internet avec Flash et les pub animées en boucle.

avatar iphonophile | 

Il me semble que lorsque Apple demande le mot de passe sur iOS tout ce qui est affiché sur l'écran de l'iPhone est grisé hors mis bien-sûr la fenêtre de dialogue demandant le mot de passe. Hors sur la vidéo explicative ont vois bien qu'une partie de mail reste active comme si ont pouvait faire deux choses à la fois ( revenir à la boîte mail précédente et taper le mot de passe apple ). Lorsqu' Apple le demande vous ne pouvais rien faire d'autre à l'écran un peu comme lorsque vous taper votre code PIN. De plus cette même fenêtre de dialogue et toujours centré bien au milieu de l'iPhone ( parfaite symétrie :)) et ne bouge pas, hors encore une fois sur la vidéo ont vois bien que celle ci accompagne le mouvement de mail

avatar sachouba | 

D'ici quelques heures, les fanboys Apple auront de toute manière oublié cette faille et cracheront sur Android et ses "virus".

CONNEXION UTILISATEUR