au sommaire
Mauvaise nouvelle pour les utilisateurs de terminaux iOS. Cette semaine, un informaticien, Jan Soucek, a révélé l'existence d'une faiblesse dans Mail, le logiciel de gestion des courriers électroniques développé par Apple. Exploitée par une personne malintentionnée, elle pourrait servir à envoyer un mail de hameçonnage (« phishing »)) afin de dérober l'identifiant et le mot de passe d'un compte iCloud.
Sur GitHub, où il a mis en ligne le détail de sa découverte, l'informaticien explique que « le bugbug permet à du contenu HTML distant d'être chargé afin de remplacer le contenu initial du message reçu par mail. Le JavaScript est désactivé [...] mais il est encore possible de mettre au point un récupérateur de mots de passe fonctionnel en utilisant simplement du HTML et du CSS ».
Pour mieux illustrer le fonctionnement de la vulnérabilité, Jan Soucek a enregistré cette petite vidéo. © eskocz, YouTube
Apple informé depuis le mois de janvier
Dans la vidéo ci-dessus, on peut voir qu'il est a priori assez aisé de duper l'utilisateur si le message frauduleux parvient à imiter le comportement attendu d'iOSiOS ainsi que son interface graphique. La victime, si elle est imprudente, peut alors renseigner son identifiant et son mot de passe dans les champs prévus à cet effet sans se douter qu'elle est la cible d'une tentative de hameçonnagehameçonnage.
Jan Soucek explique qu'il a découvert cette brèche il y a déjà plusieurs mois. Une notification a été envoyée à Apple le 15 janvier afin que l'entreprise américaine prenne les mesures adéquates pour la combler. Devant l'inaction du groupe, l'informaticien a cependant décidé de changer d'approche en publiant ses travaux sur GitHub le 7 juin, dans l'espoir de forcer AppleApple à publier un correctif.