Une vulnérabilité dans l’application Mail d’Apple a été découverte en début d’année. Celle-ci permet de capturer l’identifiant et le mot de passe iCloud. Signalée à la firme de Cupertino, elle n’a toujours pas été corrigée. L’informaticien qui l’a repérée a donc décidé d’en publier les détails pour contraindre le groupe américain de sortir un correctif sans tarder.

Mauvaise nouvelle pour les utilisateurs de terminaux iOS. Cette semaine, un informaticien, Jan Soucek, a révélé l’existence d’une faiblesse dans Mail, le logiciel de gestion de courrier électronique développé par Apple. Exploitée par une personne mal intentionnée, elle peut servir à envoyer un mail de hameçonnage (« phishing ») afin de dérober l’identifiant et le mot de passe d’un compte iCloud.

Sur GitHub, où il a mis en ligne le détail de sa découverte, il explique que « le bug permet à du contenu HTML distant d’être chargé afin de remplacer le contenu initial du message reçu par mail. Le JavaScript est désactivé […], mais il est encore possible de mettre au point un ‘récupérateur’ de mots de passe fonctionnel en utilisant simplement du HTML et du CSS« .

Pour mieux illustrer le fonctionnement de la vulnérabilité, Jan Soucek a enregistré une petite vidéo :

Dans celle-ci, l’on peut voir qu’il est a priori assez aisé de duper l’utilisateur si le message frauduleux parvient à imiter le comportement qui est attendu d’iOS ainsi que son interface graphique. La victime, si elle est imprudente, peut alors renseigner son identifiant et son mot de passe dans les champs prévus à cet effet sans se douter qu’elle est la cible d’une tentative de hameçonnage.

Jan Soucek explique qu’il a découvert cette brèche il y a déjà plusieurs mois. Une notification a naturellement été envoyée à Apple le 15 janvier afin que l’entreprise américaine prenne les mesures adéquates pour la combler. Mais devant l’inaction du groupe, l’informaticien a décidé de changer d’approche en publiant ses travaux sur GitHub le 7 juin, dans l’espoir de forcer Apple à publier un correctif.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !