Jan Soucek, chercheur en sécurité originaire de Prague en République Tchèque, a alerté Apple d'une vulnérabilité dans son application de messagerie mobile qui, exploitée, pourrait être utilisée pour tromper une personne et mettre la main sur son mot de passe iCloud. Le chercheur a même publié un code proof-of-concept pour créer une fenêtre ressemblant à celle d'identification du service iCloud et recevoir par mail le mot de passe de l'utilisateur abusé. Afin de ne pas trop éveiller les soupçons, Jan Soucek a pris soin de concevoir une fausse fenêtre d'identification iCloud qui s'affiche seulement une fois.
Cette vulnérabilité permet de charger dans un mail du contenu HTML distant à la place du contenu originel du mail. Jan Soucek a précisé avoir construit un collecteur de mot de passe fonctionnel en utilisant HTML et CSS. Une vidéo de démonstration a été publiée. Le chercheur a trouvé le bug en janvier dernier et a averti Apple. Mais le bug n'a pas été corrigé dans iOS 8.1.2. « J'ai décidé de publier ici le code proof-of-concept », a indiqué Jan Soucek.
La sécurité iCloud déjà renforcée l'année dernière
La firme à la pomme, qui n'a pas fait de commentaires sur cette publication, avait pris des mesures pour renforcer la sécurité de son service iCloud, après l'affaire des comptes de célébrités piratés l'année dernière. Dans le cas où les identifiants iCloud sont compromis, la fonction d'authentification à double facteur et l'envoi de notifications, pour prévenir que l'accès à un compte a été effectué depuis un nouveau terminal ou bien qu'un mot de passe a été changé, permet de réduire les risques.
Commentaire