Le danger des fenêtres de dialogue demandant le mot de passe Apple

Mickaël Bazoge |

Les fenêtres d'alerte qu'iOS affiche de manière intempestive afin d'obtenir le mot de passe d'un identifiant Apple sont parfois un peu pénibles lorsqu'elles apparaissent au petit bonheur la chance. Mais c'est pire encore si ces mêmes pop-up servaient de leurres à des tentatives d'hameçonnage. Le développeur Felix Krause s'alarme de potentielles attaques par ce biais — fort heureusement, aucune n'a été référencée pour le moment.

Il est impossible de distinguer la vraie boîte de dialogue de la fausse. Cliquer pour agrandir

Pour éviter qu'un malandrin s'inspire de cette trouvaille, Krause ne fournit pas le code nécessaire pour l'affichage de ce type de fenêtre, mais ce dernier constate que l'attaque est « facile à répliquer », et même les yeux avertis d'un utilisateur aguerri peuvent s'y tromper : l'interface de la boîte de dialogue trompeuse est identique à son modèle.

La même chose dans une application. Cliquer pour agrandir

Pire encore, certaines boîtes « officielles » d'iOS, là aussi très faciles à reproduire par une app malicieuse, demandent d'entrer l'identifiant : une information précieuse qui peut ensuite servir à alimenter une seconde boîte réclamant le mot de passe. Exemple :

Cliquer pour agrandir

Les brigands qui s'adonneraient à cette méthode de phishing misent sur la mémoire musculaire des utilisateurs : ils ont en effet l'habitude de saisir machinalement et de façon presque automatique leur mot de passe quand cette fenêtre apparait. Pourtant, il n'est pas anodin de donner ce genre d'information : derrière se trouvent en effet de très sensibles données confidentielles, ne serait-ce que les renseignements bancaires.

Comment se protéger d'une telle attaque ? Le réflexe à avoir est de jouer la prudence et éviter de se précipiter pour saisir le mot de passe. En cliquant sur le bouton d'accueil, une boîte de dialogue authentique qui demande la saisie d'un mot de passe d'identifiant Apple reste affichée, tout comme l'app en dessous. Il faut toucher le bouton Annuler pour reprendre la main sur le système.

Appuyer sur le bouton d'accueil quand une fausse fenêtre de dialogue du même genre est à l'écran aura pour effet de revenir à l'écran d'accueil de l'iPhone ou de l'iPad. Cela signifiera que cette fenêtre est potentiellement dangereuse.

Felix Krause, qui a averti Apple du danger, a plusieurs propositions pour corriger le tir : demander la saisie du mot de passe dans les réglages et non pas au sein de la fenêtre de dialogue ; afficher dans la boîte de dialogue l'icône de l'app qui réclame l'identifiant, afin que l'utilisateur sache qui lui demande cette authentification — et la lui accorde, ou pas. Que cela n'exonère pas Apple de plancher sur la baisse de la fréquence d'affichage de cette boîte de dialogue.

avatar ipaforalcus | 

En je pense qu’ironiquement ces demandes intempestives sont là pour augmenter la sécurité :/

avatar MacGyver | 

@ipaforalcus

Perso, je ne rempli jamais ces fenetres si je n ai pas moi meme sollicité qqchose (telechargement d app ou autre achat)

Je vois pas pourquoi le systeme puisses oser me demander mon mot de passe de maniere incongrue

On est pas sous windows que je sache

avatar EBLIS | 

"On est pas sous windows que je sache"

Encore une remarque bidon. Tu as déjà vu des fenêtres de ce genre demandant des mots de passe sous Windows ? Moi les seules que je vois sont celles sur mon Mac.

avatar ipaforalcus | 

En plus*

avatar spm | 

Intéressante cette astuce avec le bouton d'accueil pour savoir si la fenêtre de dialogue est fausse ou pas !

avatar Pomme2Poule | 

@spm

+1, merci à vous pour l'astuce

avatar ptitm@lin | 

Et je pense que cela peut fonctionner sur TV OS. Il y a aussi des demandes intempestive. Récemment plusieurs fois quand j'ai ouvert l'app Crunchyroll sur l'Apple TV.

Wait and see

avatar TKZ | 

Plutôt inquiétant...
En effet pas mal l’astuce du bouton home!

avatar Tex-Twil | 

Pardon mais Felix Krause n'est pas un "chercheur en sécurité" comme vous l'écrivez. Il n'a pas fait d'études en sécurité et encore mois de la recherche en sécurité. Il est dévelopeur Ruby / iOS ...
https://www.linkedin.com/in/krausefx/

avatar mobigeek | 

Je ne compte plus le nombre de fois où cette fenêtre est apparue de façon intempestive chez moi, et ce depuis plusieurs années et jusqu'il y a peu encore... Heureusement je n'ai jamais été hameçonné !

avatar ecosmeri | 

Et c'est pareil sur mac os, sécurité made by apple....
A chaque ouverture de ibook on me le demande

avatar fookmi | 

@ecosmeri

Faux, les fenêtres de prompt dans Safari pour Mac OS se distinguent très clairement celles du système.

avatar 1Er0ck | 

Les demandes de mot de passe dans iBooks sont insupportables

avatar pim | 

C'est souvent les moyens les plus simples qui sont les plus efficaces !

avatar Ber16 | 

Le bouton d’accueil d’une boîte de dialogue...
Là, je ne comprends pas.
Dans la boîte de dialogue, il y a OK (ou un bouton de validation) ou ANNULER.
Peut-on me dire quel est le bouton d’accueil svp ???
Ce terme me semble obscure ou on a pas le même dictionnaire sous la main....
Merci pour l’éclaircissement !

avatar RomD | 

@Ber16

Le bouton d’accueil est le seul bouton en façade sur ton iPhone, à moins d’avoir un iPhone X ;)

avatar Ber16 | 

@RomD

Merci RomD
Mais l’auteur de l’article parle du bouton d’accueil de la boîte de dialogue.
C’est donc graphique et non matériel.
Soit je ne comprends plus la terminologie, soit l’auteur parle de ce qu’il ne connaît pas (ce qui ne m’étonnerait pas sur ce site où l’on trouve le pire comme le meilleur).
Bref, je pensais trouver un sésame et encore une fois, cela me semble bien minable.

avatar hackroman | 

@Ber16

Il parle bien du bouton d'accueil de l'iPhone, le bouton home...

avatar pivert42 | 

@Ber16

Vous êtes chicaneur
« Appuyer sur le bouton d'accueil (de l’iPhone )quand une fausse fenêtre de dialogue du même genre est à l'écran aura pour effet de revenir à l'écran d'accueil de l'iPhone ou de l'iPad. Cela signifiera que cette fenêtre est potentiellement dangereuse ».

Je ne vois pas où est le problème, mais vous aviez surtout envie de dire qu’ils étaient nuls...

avatar gwen | 

@Ber16

C’est vrais, on trouve de tout sur ce site. La preuve vous êtes là.

avatar mat 1696 | 

@Ber16

Tu fais exprès ??! T'es un troll?

C'est quand même pas compliqué (et logique) à comprendre que le bouton d'accueil correspond... au bouton d'accueil. Il n'est jamais dit bouton d'accueil de la boîte de dialogue.

avatar Giloup | 

@Ber16

Êtes-vous obligé d’être discourtois ?

avatar Stefou | 

Petite astuce quand on vous demande un mot de passe « sensible » (comme la connexion à PayPal pour payer un achat) :
Entrer systématiquement un mauvais mot de passe.
Si le site est le vrai, le mot de passe sera rejeté et redemandé.
Un faux site se fera leurrer et enregistrera un mot de passe inutilisable.

avatar Ielvin | 

@Stefou

Oui c’est vrai ça :)

avatar Giloup | 

@Stefou

Bien vu !

avatar padeca | 

Vivement une amélioration d'Apple

avatar aveal | 

Pas mal, merci pour l’astuce !

avatar tchit | 

Je ne tape jamais le mdp quand il est demandé. J'attends de voir que ça émane bien de mes réglages.

avatar Serge 001 | 

@Stefou

Bien vu. Ce sont souvent les astuces les plus simples qui sont les meilleures.

avatar Onizuka | 

Une app n'a pas à vous demander votre mot de pass donc n'entrez jamais votre mdp dans une app.
C'est simple pourtant ^^

avatar Giloup | 

J’ai toujours été surpris par ces fenêtres de dialogue intempestives qui réclame le mot de passe. Du reste je ne le saisis jamais car je n’ai pas confiance.
Je ne comprends pas qu’Apple n’est pas réglé ce problème en s’inspirant d’une solution comme celle d’obliger à aller dans les réglages...

CONNEXION UTILISATEUR