Après l’API qui a fait planter des dizaines d’applications sur iPhone au mois d’août 2017, les utilisateurs d’iOS feraient mieux de se méfier de popups frauduleuses. Lorsque vous téléchargez ou mettez à jour une app, vous avez probablement l’habitude de voir s’afficher sur l’écran cette fenêtre caractéristique vous invitant à remplir votre identifiant Apple — une manipulation de routine sur iOS.
Or, peut-être vaudrait-il mieux réfléchir à deux fois avant de remplir les informations demandées la prochaine fois qu’une popup surgit sur l’écran de votre appareil. En effet, selon les constatations d’un développeur, Felix Krause, des personnes mal intentionnées pourraient facilement créer des fausses popups visant à duper les utilisateurs.
Une faille de sécurité
Dans un article publié sur son blog le 10 octobre, Felix Krause note ainsi que les popups en question pourraient servir à subtiliser les identifiants des utilisateurs d’iOS. Le développeur compare une popup officielle, et une copie créée par ses soins, pour montrer que des tentatives de phishing pourraient trouver à s’appliquer au sein du système iOS.
Felix Krause ne précise pas quel est le code source de la popup, afin de ne pas encourager les tentatives de phishing — il rappelle que la manœuvre est illégale et que sa publication a pour unique objectif d’alerter sur le problème de sécurité.
« iOS demande à l’utilisateur son mot de passe iTunes pour plusieurs raisons, les plus courantes étant les mises à jour du système d’exploitation iOS ou les applications iOS qui se bloquent pendant une installation. Par conséquent, les utilisateurs sont habitués à entrer leur identifiant Apple à chaque fois qu’iOS les y invite. Cependant, ces popups ne s’affichent pas seulement sur l’écran de verrouillage et l’écran d’accueil, mais également dans des applications aléatoires, par exemple pour accéder à iCloud, GameCenter ou pour des achats intégrés à des apps » fait observer le développeur.
En répliquant l’apparence de la boîte de dialogue caractéristique de ces popups, une tentative de phishing pourrait donc exploiter cette faille : le développeur estime que même les utilisateurs les plus technophiles pourraient avoir du mal à détecter de telles attaques.
Pour s’en prémunir, Felix Krause conseille aux utilisateurs confrontés à une popup d’appuyer sur le bouton d’accueil de leur appareil, et de voir si l’app concernée se ferme. Si c’est le cas, et que la popup se ferme également au cours de la manœuvre, c’est qu’il s’agissait bien d’une tentative de phishing.
Dans le cas où l’app et la popup restent affichées à l’écran, vous pouvez communiquer votre identifiant en toute sécurité ; en effet, le développeur précise que les popups du système s’exécutent dans un processus indépendant, et non au sein d’une application iOS.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !