Mail, l’application de courrier électronique du système iOS d’Apple, souffre d’une faille de sécurité qui, si elle était exploitée, pourrait servir à dérober l'identifiant et le mot de passe d'un compte iCloud. Après avoir averti Apple il y a plusieurs mois, l’informaticien qui a découvert cette vulnérabilité a décidé de la rendre publique afin de pousser la marque à agir.

au sommaire


    Mauvaise nouvelle pour les utilisateurs de terminaux iOS. Cette semaine, un informaticien, Jan Soucek, a révélé l'existence d'une faiblesse dans Mail, le logiciel de gestion des courriers électroniques développé par Apple. Exploitée par une personne malintentionnée, elle pourrait servir à envoyer un mail de hameçonnage (« phishing »)) afin de dérober l'identifiant et le mot de passe d'un compte iCloud.

    Sur GitHub, où il a mis en ligne le détail de sa découverte, l'informaticien explique que « le bugbug permet à du contenu HTML distant d'être chargé afin de remplacer le contenu initial du message reçu par mail. Le JavaScript est désactivé [...] mais il est encore possible de mettre au point un récupérateur de mots de passe fonctionnel en utilisant simplement du HTML et du CSS ».


    Pour mieux illustrer le fonctionnement de la vulnérabilité, Jan Soucek a enregistré cette petite vidéo. © eskocz, YouTube

    Apple informé depuis le mois de janvier

    Dans la vidéo ci-dessus, on peut voir qu'il est a priori assez aisé de duper l'utilisateur si le message frauduleux parvient à imiter le comportement attendu d'iOSiOS ainsi que son interface graphique. La victime, si elle est imprudente, peut alors renseigner son identifiant et son mot de passe dans les champs prévus à cet effet sans se douter qu'elle est la cible d'une tentative de hameçonnagehameçonnage.

    Jan Soucek explique qu'il a découvert cette brèche il y a déjà plusieurs mois. Une notification a été envoyée à Apple le 15 janvier afin que l'entreprise américaine prenne les mesures adéquates pour la combler. Devant l'inaction du groupe, l'informaticien a cependant décidé de changer d'approche en publiant ses travaux sur GitHub le 7 juin, dans l'espoir de forcer AppleApple à publier un correctif.