Mail, l’application de courrier électronique du système iOS d’Apple, souffre d’une faille de sécurité qui, si elle était exploitée, pourrait servir à dérober l'identifiant et le mot de passe d'un compte iCloud. Après avoir averti Apple il y a plusieurs mois, l’informaticien qui a découvert cette vulnérabilité a décidé de la rendre publique afin de pousser la marque à agir.
Cela vous intéressera aussi

Mauvaise nouvelle pour les utilisateurs de terminaux iOS. Cette semaine, un informaticien, Jan Soucek, a révélé l'existence d'une faiblesse dans Mail, le logiciellogiciel de gestion des courriers électroniques développé par Apple. Exploitée par une personne malintentionnée, elle pourrait servir à envoyer un mail de hameçonnage (« phishingphishing ») afin de dérober l'identifiant et le mot de passemot de passe d'un compte iCloud.

Sur GitHub, où il a mis en ligne le détail de sa découverte, l'informaticien explique que « le bugbug permet à du contenu HTMLHTML distant d'être chargé afin de remplacer le contenu initial du message reçu par mail. Le JavaScript est désactivé [...] mais il est encore possible de mettre au point un récupérateur de mots de passe fonctionnel en utilisant simplement du HTML et du CSSCSS ».


Pour mieux illustrer le fonctionnement de la vulnérabilité, Jan Soucek a enregistré cette petite vidéo. © eskocz, YouTube

Apple informé depuis le mois de janvier

Dans la vidéo ci-dessus, on peut voir qu'il est a priori assez aisé de duper l'utilisateur si le message frauduleux parvient à imiter le comportement attendu d'iOSiOS ainsi que son interface graphique. La victime, si elle est imprudente, peut alors renseigner son identifiant et son mot de passe dans les champs prévus à cet effet sans se douter qu'elle est la cible d'une tentative de hameçonnage.

Jan Soucek explique qu'il a découvert cette brèche il y a déjà plusieurs mois. Une notification a été envoyée à Apple le 15 janvier afin que l'entreprise américaine prenne les mesures adéquates pour la combler. Devant l'inaction du groupe, l'informaticien a cependant décidé de changer d'approche en publiant ses travaux sur GitHub le 7 juin, dans l'espoir de forcer Apple à publier un correctif.