Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Sur iOS, attention aux fausses fenêtres d’identification du compte Apple

Copycat

Sur iOS, attention aux fausses fenêtres d'identification du compte Apple

Le 11 octobre 2017 à 10h00

Les utilisateurs d’iOS doivent faire attention à un éventuel problème de sécurité. Les demandes du système pour le mot de passe du compte Apple peuvent en effet être copiées de manière très convaincante. Les utilisateurs peuvent cependant se prémunir contre la plupart des scénarios d’attaque.

C’est le développeur Felix Krause (auteur des outils Fastlane) qui a mis le doigt sur ce problème. Dans un billet de blog expliquant la situation, il pointe les petites fenêtres demandant à l’utilisateur de s’authentifier avec son compte Apple.

iOS affiche ce type de fenêtre de temps en temps. Apple essaye de limiter ces demandes au maximum, mais elles suivent un schéma prédéfini, surtout quand Touch ID ou Face ID sont impliqués (voir notre analyse). Par exemple, le mot de passe est réclamé quand l’utilisateur ne l’a pas saisi depuis un moment, que des tentatives d’identification biométrique ont raté, pour valider un achat sur le Store et ainsi de suite.

Des demandes de mots de passe bien trop semblables

Mais comme l’indique Krause, rien n’empêche actuellement une application tierce d’afficher une demande ayant exactement la même apparence. Il publie d’ailleurs les deux fenêtres côte à côte pour bien montrer la copie quasi conforme.

ios felix krause
Crédits : Felix Krause

À gauche, la fenêtre légitime. À droite la demande malveillante. Dans le deuxième cas, l’adresse du compte Apple est déjà connue (l’attaquant doit se débrouiller pour l’obtenir), seul reste le mot de passe à saisir. En somme une tentative de phishing d'un genre un peu particulier.

Le développeur, soulignant le soin généralement apporté aux détails par Apple, ne comprend pas comment la firme peut laisser perdurer de tels comportements, potentiellement malveillants.

Une clé déverrouillant l'accès à de nombreuses données

Potentiellement, car le mot de passe pourrait être réclamé par des applications elles-mêmes malveillantes. Il faudrait pour cela qu’elles aient passé la barrière de l’App Store (ce qui n’a rien d’impossible), ou été installées depuis une source tierce sur un appareil « jailbreaké ». À partir de là, si l’utilisateur a donné ses identifiants, le pouvoir de nuisance du pirate est très élevé.

Le compte Apple fédère toute une galaxie de données via iCloud. Dans la grande majorité, ce dernier est activé et synchronise donc de nombreuses informations : contacts, messages, emails, réglages, liste des applications, données diverses, etc. Sans parler de la sauvegarde automatique pour chaque appareil (si tant est que l’espace gratuit de 5 Go ne soit pas déjà plein).

Le bouton Accueil permet de trier les demandes

Les utilisateurs ne sont cependant pas démunis face à ce danger. Si l’identification en deux étapes a été activée (et elle devrait toujours l’être), aucune connexion ne pourra se faire depuis un nouvel appareil sans qu’un code de sécurité ne soit réclamé. Si le pirate obtient les identifiants, c’est toujours l’utilisateur qui recevra les six chiffres qui valideront l’authentification. Ce n’est bien entendu pas une protection totalement étanche… puisqu’une application pourrait également réclamer le code.

De manière plus pratique, il existe un moyen simple de savoir si la demande affichée est légitime : appuyer sur le bouton Accueil. Si la fenêtre disparait avec son application, c’est qu’elle n’émanait pas d’iOS. Si elle reste affichée, c’est au contraire que le système attend le mot de passe pour finaliser une opération importante. Le cas de l'iPhone X, qui n'a plus ce bouton, sera d'ailleurs intéressant.

La procédure fonctionne dans la grande majorité des cas affirme le développeur. Mais la seule manière sûre en cas demande impromptue serait de repérer le service réclamant le mot de passe (quand c'est possible), refuser la demande, puis se rendre dans ce service pour cette fois la valider. Une procédure qui risque de sembler bien pénible aux utilisateurs.

Des contrôles propres à iOS ?

Côté Apple, Felix Krause souligne qu’il serait assez simple de remédier au problème. le fabricant n’aurait ainsi qu’à mettre en place une série de contrôles spécifiques au système et que les développeurs tiers ne seraient pas autorisés à copier. En clair, des fenêtres propres à iOS, qui ne laissent aucun doute sur leur provenance.

On imagine qu’Apple réfléchit à la question, même si elle ne s’est pour l’instant pas exprimée. On se doute également du problème sous-jacent. La société est connue pour maintenir les interactions utilisateur aussi longtemps que possible. Une fois qu’un élément UI/UX (interface ou expérience utilisateur) est en place, il y reste. Si les fenêtres d’authentification doivent changer, l’utilisateur pourrait bien se demander pourquoi « elles ne sont pas comme d’habitude », et donc s’en méfier… et ce d’autant plus que les applications malveillantes pourraient continuer à afficher des demandes classiques.

Commentaires (25)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Ouais c’est pas nouveau… les 1ers à avoir remonté ce problème l’ont fait il y a au moins 2 ans…

Par contre, c’est effectivement débile qu’Apple n’a pas encore trouvé un meilleur moyen que cette popup. Je pense qu’ils comptent sur leur processus de validation en amont pour éviter ce genre de problème.

C’est vrai que pour l’instant, il n’y a pas eu de cas réel de ce genre… c’est probablement efficace…

votre avatar

c’est vrai que ça sort un peu sans prévenir.. idem de temps en temps, demande de mdp du compte mail <img data-src=" />

votre avatar







KP2 a écrit :



Ouais c’est pas nouveau… les 1ers à avoir remonté ce problème l’ont fait il y a au moins 2 ans…

Par contre, c’est effectivement débile qu’Apple n’a pas encore trouvé un meilleur moyen que cette popup. Je pense qu’ils comptent sur leur processus de validation en amont pour éviter ce genre de problème.

C’est vrai que pour l’instant, il n’y a pas eu de cas réel de ce genre… c’est probablement efficace…







C’est sur?

Mais comment éviter ce piège très subtil <img data-src=" />



C’est “Loading” en gras qui fait la différence? un correctif rapide sera proposé?


votre avatar







dumbledore a écrit :



C’est sur?







Sur, non.

C’est juste qu’on en a pas entendu parlé et j’ose croire que si il devait y avoir un cas de ce genre, ça aurait fait le tour de toutes les gazettes du web en moins de temps qu’il n’en faut à un hater pour dauber sur Apple.



En tout cas, le problème est sérieux pour moi mais Apple ne semble pas spécialement inquiet donc ils doivent bien faire qqch pour éviter ce risque depuis le temps qu’il existe…


votre avatar







dumbledore a écrit :



C’est sur?

Mais comment éviter ce piège très subtil <img data-src=" />



C’est “Loading” en gras qui fait la différence? un correctif rapide sera proposé?





Quitte l’app, si le pop up résiste c’est qu’il est réel <img data-src=" />


votre avatar

Dans la photo d’écran proposée, où distingue-t-on la différence ?

votre avatar



Apple essaye de limiter ces demandes au maximum, mais elles suivent un

schéma prédéfini, surtout quand Touch ID ou Face ID sont impliqués





C’est pour quel usage exactement ? Sur Android je n’ai jamais vu une telle demande de mot de passe qui surgit inopinément. C’est peut-être pire alors… ?

votre avatar







Winderly a écrit :



Dans la photo d’écran proposée, où distingue-t-on la différence ?





Je me posais aussi la question, et dumbledore en #3 a mentionné la taille de “Loading”, mais c’est subtil en effet.


votre avatar

Si c’est le seul détail choquant, il faut être plus méfiant que la moyenne (je doute que ce soit le cas de la majorité des utilisateurs de iOS).

votre avatar







Winderly a écrit :



Dans la photo d’écran proposée, où distingue-t-on la différence ?







Y’en a pas justement. La popup est absolument identique.

La différence est dans la réaction à une mise en arrière plan : la vraie reste devant, la fausse part avec l’appli.

Le seul “problème” est que l’appli doit connaitre le nom du compte Apple. Mais c’est certainement pas un gros problème à obtenir…







Jarodd a écrit :



C’est pour quel usage exactement ? Sur Android je n’ai jamais vu une telle demande de mot de passe qui surgit inopinément. C’est peut-être pire alors… ?







Ce genre de demande arrive quand on achète une appli ou quand on fait une reconnexion à iCloud. Ca arrive rarement mais assez régulièrement pour ne pas être surpris.

C’est pour ça que l’auteur de la démonstration dit qu’Apple a “entrainé ses clients à entrer leur mot de passe sur cette popup sans vérif”. Il a raison.



Après, je répète encore : l’impact ne semble pas si important que ça car il n’y a pas eu de cas de ce genre depuis 10 ans que les iPhones existent. Cette popup est là depuis que l’AppStore existe pourtant (donc 8 ou 9 ans).


votre avatar







KP2 a écrit :



Sur, non.

C’est juste qu’on en a pas entendu parlé et j’ose croire que si il devait y avoir un cas de ce genre, ça aurait fait le tour de toutes les gazettes du web en moins de temps qu’il n’en faut à un hater pour dauber sur Apple.



En tout cas, le problème est sérieux pour moi mais Apple ne semble pas spécialement inquiet donc ils doivent bien faire qqch pour éviter ce risque depuis le temps qu’il existe…





Ce qui est bien avec KP2, c’est qu’on peut toujours compter sur lui pour :




  • allègrement cracher sur les autres éditeurs, Microsoft en tête - cf. son historique

  • minimiser au possible tout autre problème rencontré chez son éditeur fêtiche, Apple.

  • traiter les autres de fanboys (ou haters si cela l’oppose à son point de vue), alors qu’il en fait complètement partie. Ironique, n’est-ce pas ?



    Enfin bref.. c’est déjà le cas depuis des années à l’époque chez Cluclu, on a l’habitude… soupir Mais qu’est-ce que c’est chiant !



    EDIT: J’ai toujours réussi à éviter d’écrire ceci, mais purée, ma patience au bout d’un moment s’estompe…


votre avatar

Ça serait plus intéressant si tu répondais sur le fond, plutôt que de t’en prendre au commentateur.

(qui par ailleurs ne me paraît pas spécialement parler comme un fan de la marque)

votre avatar







OlivierJ a écrit :



Ça serait plus intéressant si tu répondais sur le fond, plutôt que de t’en prendre au commentateur.

(qui par ailleurs ne me paraît pas spécialement parler comme un fan de la marque)





Tu vois OlivierJ, c’est dommage car :




  • j’adore justement te lire, tu es selon moi toujours rationnel, percutant, réfléchi, et, ce qui ne gâche rien pour moi, je suis toujours d’accord avec toi, peu importe le domaine dans lequel tu t’exprimes. Je m’en suis souvent fait la réflexion, et te remerciait intérieurement très souvent quand tu commentes.

  • mais là, je suis vraiment désolé (et j’en suis même chagriné)car exceptionnellement je ne le suis pas : j’évite au possible de faire des attaques ad hominem, mais là je n’en peux plus.. son commentaire que j’ai cité dans mon précédent message est en fait la goutte d’eau : le coup du “en moins de temps qu’il n’en faut à un hater pour dauber sur Apple. ” a été le déclencheur. Personne n’a déblatéré sur son éditeur fêtiche, mais il n’a pas pu s’empêcher de mentionner cela. Ceci, gros comme une maison, plus le fait de vouloir à tout prix, à chacun de ses messages, bien minimiser la portée et les conséquences de cette fausse fenêtre .. hé bien, pardonne-moi, mais à force ça m’énerve. Et je suis loin d’être le premier, et ne serait pas le dernier.

    Et si tu analyses un tout petit peu son historique, tu t’apercevras que ça a toujours été le cas. Toujours. Et c’est très, très fatiguant, vraiment. Pour ne pas dire autre chose.



    Après, ma fois, fallait bien que ça sorte un jour..


votre avatar







Vanilys a écrit :



EDIT: J’ai toujours réussi à éviter d’écrire ceci, mais purée, ma patience au bout d’un moment s’estompe…







ayé ? t’as fait ton rot ? ça va mieux ?

Je suis désolé que ça te chagrine. My bad.



Je crois avoir explicité le “ils doivent bien faire qqch pour éviter ce risque depuis le temps qu’il existe…” dans mon 1er commentaire. Cette phrase est la seule dans ce commentaire en particulier, il me semble, qui fait vraiment fanboy quand on la sort de son contexte mais j’assume cette tournure pour éviter une redite inutile dans ce thread.

Après, pour la vanne sur les haters, j’ai cherché autre chose (promis !) mais j’ai pas trouvé dans un laps de temps raisonnable… J’en suis pas méga fier mais bon, fallait bien mettre qqch.

Et quel problème de parler de gens qui, soit disant, n’existent pas ?


votre avatar







Vanilys a écrit :



son commentaire que j’ai cité dans mon précédent message est en fait la goutte d’eau : le coup du “en moins de temps qu’il n’en faut à un hater pour dauber sur Apple. ” a été le déclencheur. Personne n’a déblatéré sur son éditeur fêtiche, mais il n’a pas pu s’empêcher de mentionner cela.





Tu dois y être plus sensible que moi, car pour moi ça m’a juste fait sourire, il aurait pu dire ça sur une autre marque dans un autre article, ça m’aurait fait pareil :-) .

(merci pour tes mots aimables, je n’en mérite pas tant <img data-src=" /> et au passage ça change de ce que j’ai lu sur un autre fil <img data-src=" /> )


votre avatar

@KP2

Oui, ça va mieux, merci, fallait bien que ça sorte un jour.

Après, si ça te fait prendre enfin conscience de tout ça, malgré le fait qu’on (= de nombreux commentateurs ici ou ailleurs) te l’a déjà dit maintes fois, ce sera un progrès <img data-src=" />

Je pense que si tu lisais objectivement tout ton passif de commentaires, en faisant un “search & replace” du nom de certains éditeurs par d’autres, tu en viendrais aux mêmes considérations que les miennes.

Rien de dramatique cela dit, ça n’atteint pas non plus certains niveaux de trolls, mais la répétition est pourtant assez dure à supporter quelques fois.

Je n’en ferai plus part, le message est passé, maintenant t’en feras ce que tu veux (j’ai peut*-être été un peu trop direct, et tu m’en vois navré), et peu importe ce qu’il en sortira, ça ne m’empêchera pas non plus de continuer à lire les commentaires, que ce soit les tiens ou d’autres.

Allez, cela dit, passe une bonne soirée <img data-src=" />



@OlivierJ

Je l’ai toujours pensé, j’ai souvent failli te le dire d’ailleurs, et ce n’est pas de la lèche ou quoi que ce soit. Donc j’en profite maintenant. Et ce que j’avais souvent envie de rétorquer aux nombreux trolls / comploteurs / extrémistes etc… rencontrés au fil des threads, tu l’exprimais de manière bien meilleure que ce que j’aurais sans doute fait. Bref, ça me faisait toujours un bien fou de lire quelqu’un d’un tant soit peu sensé.

Allez toi aussi <img data-src=" />

votre avatar

Pour etre clair :









Vanilys a écrit :



Ce qui est bien avec KP2, c’est qu’on peut toujours compter sur lui pour :




  • allègrement cracher sur les autres éditeurs, Microsoft en tête - cf. son historique







    Oui, j’aime pas MS. Ça date de la “grande” époque des FUD anti-linux qui m’ont dégouté de cette boite, de ce qu’elle faisait (et fait encore dans certains cas) au niveau commercial mais aussi au niveau technique.

    Après, je reconnais sans aucun problème que MS change. Et il change dans le bon sens grâce à Nadella. MS a encore qq sale travers mais c’est mieux… Mais c’est pas demain que j’acheterai un de leurs produits (même si j’ai été a 2 doigts de prendre une Surface Pro 4 i7 avant d’être sérieusement échaudé)







    Vanilys a écrit :



  • minimiser au possible tout autre problème rencontré chez son éditeur fêtiche, Apple.







    Mouais, faut pas lire la moitié que ce que je raconte quand même… Il y a un remarque dans chacun de mes commentaires sur cette actu qui montre clairement que j’estime ce probleme comme étant grave. C’est pas suffisant ?







    Vanilys a écrit :



  • traiter les autres de fanboys (ou haters si cela l’oppose à son point de vue), alors qu’il en fait complètement partie. Ironique, n’est-ce pas ?







    Je ne compte plus les “fanboys” que je reçois directement en ad nominem (encore un dans ta phrase) alors que je mets au défi quiconque de trouver un exemple ou j’insulte directement et explicitement qqn de hater.

    Oui je parle des “haters” au sens large car c’est un phénomène réel au sujet d’Apple car c’est une marque qui fait des produits “clivants” mais j’insulte pas les gens pour autant. Moi.

    Après, mon rapport à Apple et ses produits est secondaire. Je passe l’essentiel de mes commentaires à dire à certains relous que “non, c’est est faux” ou “oui mais c’est pas pour cette raison mais pour celle-là”. Interprète ça comme un discours de fanboy si tu veux, moi je préfère dire que j’essaye de rétablir un certain niveau de vérité dans la masse d’aneries qu’on peut entendre souvent au sujet d’Apple.

    Et il m’arrive de faire la même chose au sujet d’Android… moins souvent car “il me semble” qu’il y a sérieusement moins de relous qui crachent sur Android que sur Apple. Je me trompe peut-être mais, comme tu le dis, mon expérience des forums date de longtemps et je pense avoir une bonne vue d’ensemble.


votre avatar

:popcorn:

votre avatar







Vanilys a écrit :



@KP2

Oui, ça va mieux, merci, fallait bien que ça sorte un jour.

Après, si ça te fait prendre enfin conscience de tout ça, malgré le fait qu’on (= de nombreux commentateurs ici ou ailleurs) te l’a déjà dit maintes fois, ce sera un progrès <img data-src=" />







J’essaye de rester le plus neutre possible mais de toute façon dès que tu donnes un mot qui va pas dans le sens du mec d’en face, tu passes directement pour un fanboy (quelque soit le camp d’ailleurs).

Donc, je me prends pas trop la tête non plus…







Vanilys a écrit :



Je pense que si tu lisais objectivement tout ton passif de commentaires, en faisant un “search & replace” du nom de certains éditeurs par d’autres, tu en viendrais aux mêmes considérations que les miennes.







En fait, je pense que ce qui est le plus gênant, c’est parfois la masse de commentaires. C’est vrai que j’interviens pratiquement que dans certains types de sujets et j’y reste souvent longtemps…

C’est juste que tout ce qui concerne les OS et les réseaux, c’est ma grande passion (et j’en ai fait mon job)







Vanilys a écrit :



Rien de dramatique cela dit, ça n’atteint pas non plus certains niveaux de trolls, mais la répétition est pourtant assez dure à supporter quelques fois.

Je n’en ferai plus part, le message est passé, maintenant t’en feras ce que tu veux (j’ai peut*-être été un peu trop direct, et tu m’en vois navré), et peu importe ce qu’il en sortira, ça ne m’empêchera pas non plus de continuer à lire les commentaires, que ce soit les tiens ou d’autres.

Allez, cela dit, passe une bonne soirée <img data-src=" />







Ouais, je vais essayer de faire gaffe mais bon, j’aime bien les débats, que veux-tu… Sans pour autant apprécier les relous genre “Apple = caca” ou “Apple, y cherche ka piquer tes sous et pis ils sont kopin avec la NSA” qui me donne qu’une envie, c’est de leur rentrer dans le lard.



votre avatar

A part sur l’AppStore quand on achète qqchose ou lors d’un achat volontaire dans un jeu, je n’ai pas souvenir d’avoir vu cette fenêtre ailleurs.

Quand l’idtouch échoue, c’est la fenêtre de saisie du code pin qui s’affiche, pas ce mini-popup.

votre avatar

En même temps t’étais aussi le fanboy MS sur Clubic (bon pas autant que Topnem… heureusement!)

T’as tjs ton WP?

votre avatar







Leixia a écrit :



En même temps t’étais aussi le fanboy MS sur Clubic (bon pas autant que Topnem… heureusement!)

T’as tjs ton WP?





Popopo


votre avatar







Ricard a écrit :



:popcorn:



votre avatar

Ce qui m’étonne avec toutes ces vagues de phishing, c’est qu’il n’y ait pas de version revue du vieux Virus Belge.





Bonjour,

Ceci est une tentative de phishing basée sur l’HONNEUR.

Veuillez envoyer vos identifiants et mots de passe à l’adresse suivante : [email protected]

Par avance, merci pour votre coopération.





<img data-src=" />

votre avatar

“Par exemple, le mot de passe est réclamé quand l’utilisateur ne l’a pas saisi depuis un moment, que des tentatives d’identification biométrique ont raté, pour valider un achat sur le Store et ainsi de suite.”

Il y a très souvent des requêtes vers l’apple store, pour les màj du système, des app, du stockage cloud (aka contacts, calendrier, données etc.). Donc un peu pour tout en fait. Vu que tout est centralisé.

Sur iOS, attention aux fausses fenêtres d’identification du compte Apple

  • Des demandes de mots de passe bien trop semblables

  • Une clé déverrouillant l'accès à de nombreuses données

  • Le bouton Accueil permet de trier les demandes

  • Des contrôles propres à iOS ?

Fermer