Le danger des fenêtres de dialogue demandant le mot de passe Apple
Les fenêtres d'alerte qu'iOS affiche de manière intempestive afin d'obtenir le mot de passe d'un identifiant Apple sont parfois un peu pénibles lorsqu'elles apparaissent au petit bonheur la chance. Mais c'est pire encore si ces mêmes pop-up servaient de leurres à des tentatives d'hameçonnage. Le développeur Felix Krause s'alarme de potentielles attaques par ce biais — fort heureusement, aucune n'a été référencée pour le moment.
Pour éviter qu'un malandrin s'inspire de cette trouvaille, Krause ne fournit pas le code nécessaire pour l'affichage de ce type de fenêtre, mais ce dernier constate que l'attaque est « facile à répliquer », et même les yeux avertis d'un utilisateur aguerri peuvent s'y tromper : l'interface de la boîte de dialogue trompeuse est identique à son modèle.
Pire encore, certaines boîtes « officielles » d'iOS, là aussi très faciles à reproduire par une app malicieuse, demandent d'entrer l'identifiant : une information précieuse qui peut ensuite servir à alimenter une seconde boîte réclamant le mot de passe. Exemple :
Les brigands qui s'adonneraient à cette méthode de phishing misent sur la mémoire musculaire des utilisateurs : ils ont en effet l'habitude de saisir machinalement et de façon presque automatique leur mot de passe quand cette fenêtre apparait. Pourtant, il n'est pas anodin de donner ce genre d'information : derrière se trouvent en effet de très sensibles données confidentielles, ne serait-ce que les renseignements bancaires.
Comment se protéger d'une telle attaque ? Le réflexe à avoir est de jouer la prudence et éviter de se précipiter pour saisir le mot de passe. En cliquant sur le bouton d'accueil, une boîte de dialogue authentique qui demande la saisie d'un mot de passe d'identifiant Apple reste affichée, tout comme l'app en dessous. Il faut toucher le bouton Annuler pour reprendre la main sur le système.
Appuyer sur le bouton d'accueil quand une fausse fenêtre de dialogue du même genre est à l'écran aura pour effet de revenir à l'écran d'accueil de l'iPhone ou de l'iPad. Cela signifiera que cette fenêtre est potentiellement dangereuse.
Felix Krause, qui a averti Apple du danger, a plusieurs propositions pour corriger le tir : demander la saisie du mot de passe dans les réglages et non pas au sein de la fenêtre de dialogue ; afficher dans la boîte de dialogue l'icône de l'app qui réclame l'identifiant, afin que l'utilisateur sache qui lui demande cette authentification — et la lui accorde, ou pas. Que cela n'exonère pas Apple de plancher sur la baisse de la fréquence d'affichage de cette boîte de dialogue.
En je pense qu’ironiquement ces demandes intempestives sont là pour augmenter la sécurité :/
@ipaforalcus
Perso, je ne rempli jamais ces fenetres si je n ai pas moi meme sollicité qqchose (telechargement d app ou autre achat)
Je vois pas pourquoi le systeme puisses oser me demander mon mot de passe de maniere incongrue
On est pas sous windows que je sache
"On est pas sous windows que je sache"
Encore une remarque bidon. Tu as déjà vu des fenêtres de ce genre demandant des mots de passe sous Windows ? Moi les seules que je vois sont celles sur mon Mac.
En plus*
Intéressante cette astuce avec le bouton d'accueil pour savoir si la fenêtre de dialogue est fausse ou pas !
@spm
+1, merci à vous pour l'astuce
Et je pense que cela peut fonctionner sur TV OS. Il y a aussi des demandes intempestive. Récemment plusieurs fois quand j'ai ouvert l'app Crunchyroll sur l'Apple TV.
Wait and see
Plutôt inquiétant...
En effet pas mal l’astuce du bouton home!
Pardon mais Felix Krause n'est pas un "chercheur en sécurité" comme vous l'écrivez. Il n'a pas fait d'études en sécurité et encore mois de la recherche en sécurité. Il est dévelopeur Ruby / iOS ...
https://www.linkedin.com/in/krausefx/
Je ne compte plus le nombre de fois où cette fenêtre est apparue de façon intempestive chez moi, et ce depuis plusieurs années et jusqu'il y a peu encore... Heureusement je n'ai jamais été hameçonné !
Et c'est pareil sur mac os, sécurité made by apple....
A chaque ouverture de ibook on me le demande
@ecosmeri
Faux, les fenêtres de prompt dans Safari pour Mac OS se distinguent très clairement celles du système.
Les demandes de mot de passe dans iBooks sont insupportables
C'est souvent les moyens les plus simples qui sont les plus efficaces !
Le bouton d’accueil d’une boîte de dialogue...
Là, je ne comprends pas.
Dans la boîte de dialogue, il y a OK (ou un bouton de validation) ou ANNULER.
Peut-on me dire quel est le bouton d’accueil svp ???
Ce terme me semble obscure ou on a pas le même dictionnaire sous la main....
Merci pour l’éclaircissement !
@Ber16
Le bouton d’accueil est le seul bouton en façade sur ton iPhone, à moins d’avoir un iPhone X ;)
@RomD
Merci RomD
Mais l’auteur de l’article parle du bouton d’accueil de la boîte de dialogue.
C’est donc graphique et non matériel.
Soit je ne comprends plus la terminologie, soit l’auteur parle de ce qu’il ne connaît pas (ce qui ne m’étonnerait pas sur ce site où l’on trouve le pire comme le meilleur).
Bref, je pensais trouver un sésame et encore une fois, cela me semble bien minable.
@Ber16
Il parle bien du bouton d'accueil de l'iPhone, le bouton home...
@Ber16
Vous êtes chicaneur
« Appuyer sur le bouton d'accueil (de l’iPhone )quand une fausse fenêtre de dialogue du même genre est à l'écran aura pour effet de revenir à l'écran d'accueil de l'iPhone ou de l'iPad. Cela signifiera que cette fenêtre est potentiellement dangereuse ».
Je ne vois pas où est le problème, mais vous aviez surtout envie de dire qu’ils étaient nuls...
@Ber16
C’est vrais, on trouve de tout sur ce site. La preuve vous êtes là.
@Ber16
Tu fais exprès ??! T'es un troll?
C'est quand même pas compliqué (et logique) à comprendre que le bouton d'accueil correspond... au bouton d'accueil. Il n'est jamais dit bouton d'accueil de la boîte de dialogue.
Petite astuce quand on vous demande un mot de passe « sensible » (comme la connexion à PayPal pour payer un achat) :
Entrer systématiquement un mauvais mot de passe.
Si le site est le vrai, le mot de passe sera rejeté et redemandé.
Un faux site se fera leurrer et enregistrera un mot de passe inutilisable.
@Stefou
Oui c’est vrai ça :)
Vivement une amélioration d'Apple
Pas mal, merci pour l’astuce !
Je ne tape jamais le mdp quand il est demandé. J'attends de voir que ça émane bien de mes réglages.
@Stefou
Bien vu. Ce sont souvent les astuces les plus simples qui sont les meilleures.
Une app n'a pas à vous demander votre mot de pass donc n'entrez jamais votre mdp dans une app.
C'est simple pourtant ^^