iOS : voler un compte Apple est facile, ce développeur de Google le prouve

Une faille pour le moins embêtante pour Apple vient d’être mise en évidence par un salarié de Google qui démontre avec quelques captures d’écrans qu’il est très facile d’obtenir le mot de passe des utilisateurs d’iPhone. Si pour le moment la faille mise en évidence n’a visiblement pas encore été utilisée, Apple a tout intérêt à revoir sa procédure de demande de mot de passe sous iOS pour éviter les soucis.

ios 11

Si il existe plusieurs manières pour verrouiller un smartphone ou un compte en ligne auprès d’un service, il faut bien reconnaître que celle qui revient le plus souvent sur le tapis est ce bon vieux mot de passe. Chez Apple il en va de même pour les comptes de ses utilisateurs et Felix Krause travaillant chez fastlane.tools (Google) a mis le doigt sur une faille relativement embêtante concernant iOS.

iOS : il est simple d’obtenir le mot de passe d’un compte Apple

Alors que iOS 11 est un cauchemar pour certains iPhone, Felix Krause démontre avec des captures d’écrans à l’appui qu’il est aisé de tromper un utilisateur d’un terminal iOS avec une fausse fenêtre demandant de confirmer le mot de passe de son compte Apple. En prenant quelques minutes de son temps, il est arrivé à reproduire une fenêtre quasiment identique à celle présente au sein du système d’exploitation. Un utilisateur n’y verrait que du feu et pourrait y renseigner ainsi son mot de passe qui est ensuite transmis à un tiers.

On peut imaginer qu’un hacker puisse exploiter cette astuce pour avoir les mots de passe facilement des clients de la pomme. Néanmoins, il existe une méthode pour s’assurer que la demande émane bien du système d’exploitation et non pas d’une application malveillante. Il suffit d’appuyer sur le bouton Home si la fenêtre disparaît c’est que la demande ne provenait pas d’iOS, néanmoins si elle reste c’est que la demande provient bien d’iOS. Apple va probablement réagir suite à cette affaire en modifiant sa procédure de demande de mot de passe à l’occasion d’une prochaine mise à jour d’iOS montré du doigt pour ses problèmes de ralentissements.

ios mot de passe
Réagissez à cet article !
  • Stef80

    http://petitesmains.blogs.marieclaireidees.com/media/00/01/1385531466.gif

    • Pfelelep_écrit_en_UTF-8

      Tu as fait un selfie?

      • Stef80

        Ouah ! La répartie niveau maternelle !
        https://memegenerator.net/img/images/2154021.jpg

        • Pfelelep_écrit_en_UTF-8

          Ca méritait au moins ça
          https://uploads.disquscdn.com/images/afebf3ab7cb44f5253dd19b382b678174b4045bc58323ea03a75ed6e8c7b3175.jpg

          • Stef80

            http://lachroniquefacile.fr/wp-content/uploads/2016/03/379.gif

  • Bobinette24

    C’est juste faisable avec n’importe quel OS…

    • Novaslash

      En fait, ce n’est pas vraiment la question même si c’est vrai. Je pense le développeur a voulu un peu troller Apple car l’entreprise et la plupart des médias insistent bien sur le côté hyper sécurisé de iOS et là, avec une fausse fenêtre, une partie de la sécurité est mise à mal.

      Ps : je dis ça dans l’hypothèse que ce soit vrai. NE me sautez pas à la gorge direct.

    • comcom

      J’utilisais déjà cette technique il y a très très longtemps pour piquer les mdp des profs et des potes au collège lol tellement basique…

  • kouba

    Tout OS a des failles..!!!.

  • Djib

    iAndroid, viens nous expliquer

    • flo2

      il doit avoir les yeux tout rouge !

    • comcom

      Tu peux tellement faire exactement pareil sur n’importe quel système lol

      • NaNouk

        Sur le principe, je suis d’accord, mais si on creuse un peu plus, c’est surtout la méthode d’authentification qui est problématique.

        Sur mon device Android par exemple, je n’ai pas à m’authentifier explicitement pour aller sur le PlayStore (vu que je suis connecté par défaut à mon compte Google) ; il semble par contre que ce soit le cas sur iOS si on en croit l’article sur le blog de Felix Krause.

        Pour aller plus loin, il semble que les connexions récurrentes à chaque mise à jour de l’OS sont « normales » pour un utilisateur iOS ; il faut bien comprendre que ce n’est pas la difficulté technique à mettre en oeuvre un popup piégé qui compte, mais le comportement de l’OS au moment de l’installation qui expose de nombreuses fenêtres de connexion sans raisons apparentes, auxquelles les utilisateurs d’iOS sont habitués, ce qui compromet la sécurité des utilisateurs.

        • Je dois m’identifier pour chaque achat sur le play store ou chaque achat in-app.

        • comcom

          Il faut s’identifier systématiquement à chaque achat sur Android tout comme sur iOS.
          De plus tu ne peux pas afficher une fenêtre comme ça sans que l’application soit lancée (comme on le ferait sur un Windows par exemple).
          Donc à part se faire passer pour un achat inapp ou un truc du genre sinon non

          • NaNouk

            Si un achat requiert une authentification ce n’est pas un problème en soit (au passage, je n’ai parlé que de lancer le PlayStore, pas d’y faire un achat). Mais je pense que tu passes à côté du propos de Félix Krause (qui donne de plus amples détails sur son site personnel) :

            « Why does this work?

            iOS asks the user for their iTunes password for many reasons, the most common ones are recently installed iOS operating system updates, or iOS apps that are stuck during installation.

            As a result, users are trained to just enter their Apple ID password whenever iOS prompts you to do so. However, those popups are not only shown on the lock screen, and the home screen, but also inside random apps, e.g. when they want to access iCloud, GameCenter or In-App-Purchases.

            This could easily be abused by any app, just by showing an UIAlertController, that looks exactly like the system dialog.

            Even users who know a lot about technology have a hard time detecting that those alerts are phishing attacks. »

            Le point important, c’est « users are trained » : les popups de connexion sous iOS sont déclenchés n’importe quand par le système, à en croire Felix Krause, et c’est ce qui pose problème car ce sont ces mauvaises habitudes qui compromettent la sécurité, une appli tierce pouvant copier ce popup parce que les utilisateurs sont moins réticents à s’authentifier à ce moment « parce qu’ils en ont l’habitude ».

          • comcom

            J’ai un iPhone et non le truc le demande pas le mot de passe à tout bout de champs qui plus est dans les appli c’est uniquement pour un achat inapp donc soit je vais voir la popup dans l’appli et ça serra forcément inhabituel un popup de ce genre sur iOS est forcément suite à une action donc on peut tout autant parfaitement faire ce même genre de popup dans une app Android pour exactement le même effet, les personnes qui ne font pas attention se feront avoir pas ceux qui ont un minimum de jujotte c’est tout autant valable pour n’importe quel méthode de phishing on a beau communiquer à mort sur faire attention aux mails il y en a toujours qui se font avoir.
            Sinon le truc imite un achat inapp et forcément il faut une appli qui me donne envi de l’installer + un achat inapp qui m’intéresse + gèrer le faux paiement qui échoue + rediriger vers le vrais paiement pour que je m’aperçoive de rien

          • NaNouk

            Je ne suis pas spécialiste iOS, mais j’ai fait une recherche sur internet avec les mots clefs « icloud sign in popup » et apparemment, le problème d’authentification en boucle sur iCloud est un problème connu.

            Mais sur le principe, on est d’accord, rien ne remplacera la prudence s’agissant de fournir ses identifiants.

          • comcom

            Au sein même de l’OS ça peu arriver et c’est assez rare, dans les appli absolument jamais hors achat inapp sans compter que généralement on de demande ton empreinte.
            Pour côtoyer de l’android, on demande pas plus le mot de passe dans Android que chez Apple (une fois le tel installé évidement)

          • Pfelelep_écrit_en_UTF-8

            Parce que les utilisateurs seraient plus stupides sur iOS que sur les autres OS?

            Combien d’utilisateurs Android vérifient les autorisations à l’installation d’une application?

            Sur tous les OS, combien cochent des cases comme « ne plus me demander à l’avenir », combien stockent leurs mots de passe sans savoir où et comment dans l’OS? Ou utilisent les services d’authentification de Google ou Facebook sans savoir les implications? Tu sais, tous les trucs qui permettent justement de ne plus avoir les popups de l’OS leur demandant des infos d’authentification…

          • NaNouk

            Il ne s’agit pas de dire qu’un utilisateur iOS est plus stupide qu’un utilisateur Android.

            Félix Krause met en cause le mécanisme d’authentification sur iCloud qui créé des mauvaises habitudes. Il suggère plutôt que la fenêtre de connexion doive être gérée par le système : ce n’est pas à l’application de demander les identifiants ; l’application doit demander au système et c’est le système qui doit se charger d’authentifier l’utilisateur sur le réseau, pas l’application puisqu’elle n’est pas référente d’un point de vue de la sécurité.

            L’exemple que tu donnes dans la 2ème partie de ta réponse est pertinent puisqu’il illustre très bien le fait de pouvoir déléguer à des services tiers la possibilité de t’identifier sur un réseau, sans que tu aies à rentrer à aucun moment identifiant/mot de passe, vu que tu es déjà connecté à un de ces services ; la sécurité est donc mise sur ces services d’authentification (google+, facebook, twitter, …) et tu n’as donc jamais à divulguer tes identifiants en dehors de ces services (toute demande d’authentification en dehors devient suspecte).

            Donc oui, tes identifiants sont sécurisés. Et oui, par contre, ton activité personnelle est par contre en vadrouille sur Internet (et utilisée pour nourrir ou entraîner des robots), mais c’est un autre débat.

          • Pfelelep_écrit_en_UTF-8

            Ce sont 2 façons de faire et il n’y en a pas une des 2 qui soit fondamentalement meilleure que l’autre, la question c’est plutôt de savoir où on met le curseur et qui doit faire quoi.

            Par exemple, les informations d’authentification de la messagerie, pour moi ça ne doit pas sortir de la messagerie, justement pour des raisons de sécurité: qui en dehors de mon client mail a besoin de se connecter aux serveurs mail?

            On peut déléguer ça à l’OS par confort, mais en terme de sécurité je ne vois qu’une régression.

            Le fait que des infos perso circulent renforcent mon avis, d’autant que les 2 acteurs essentiels de ces mécanismes sont les 2 plus grands vautours de la planète numérique.

          • NaNouk

            Pour l’exemple du mail, je suis d’accord avec toi. Pour ce qui est de déléguer à l’OS par confort, je pense que c’est mieux aussi au niveau de la sécurité (un peu comme quand tu utilises un Framework/des bibliothèques plutôt que développer toi-même des fonctionnalités logicielles), parce que tu délègues ça à des professionnels (et pas à un développeur lambda qui a bricolé une app le week-end).

            Mais pour en revenir au popup iCloud Signin (à la base de l’article), vu que c’est la tambouille d’Apple, personne d’autre à part l’OS d’Apple ne devrait pouvoir invoquer une fenêtre de connexion à iCloud. De ce point de vue, c’est un problème de sécurité.

          • Pfelelep_écrit_en_UTF-8

            Je doute qu’il y ait une grande différence entre Android et iOS à ce niveau. Je dis bien je doute, fuyant Google comme la peste, je ne suis pas client de leur service.

            Dans mon souvenir, il n’y avait jamais de demande d’auto une fois le téléphone déverrouillé, quelque soit le service Google ou qui utilise Google pour se signer. A mon sens une lacune énorme de sécurité.

  • elibeDorG

    Mais… Evidemment, on peux faire ca pour google aussi… En tout cas pas mal le titre a la BuzzFeed on s’y croirait ;)

    • Insomnia

      Là n’est pas le soucis, si on écoute iandroid atlas et compagnie Android est une passoire et iOS un gage de sécurité ça prouve au moins qu’ios n’est pas aussi sécurisé qu’ils pourraient nous faire croire et ce mode existe depuis des lustres

      • Pfelelep_écrit_en_UTF-8

        Ce qu’il y a de formidable avec Google, c’est aussi leur grande capacité à détourner l’attention.

        Là, ils révèlent une faille dans iOS, régulièrement ils publient les failles des produits MS… pour bien détourner l’attention de leurs failles à eux.

        En outre, ce dont on parle est reproductible sur Android et ChromeOS, mais c’est évidemment sur iOS que porte la publication.

Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
iPhone : 98% des copies de chargeurs risquent de vous électrocuter !

Selon une enquête menée par Electrical Safety First, la quasi totalité des copies de chargeurs d’iPhone sont dangereux et présentent de graves risques pour votre santé ou celle de vos proches. Qu’est-ce que vous risquez vraiment à chaque fois que vous rechargez votre iPhone avec une copie ?