Une faille de sécurité découverte dans l’application iOS Mail permet à des personnes malveillantes de voler facilement les mots de passe iCloud aux victimes. Le bogue, qui existe au moins depuis janvier, consiste à envoyer un message codé en HTML contenant une fausse fenêtre demandant le mot de passe de l’utilisateur ? et qui n’est pas filtré par le client de messagerie d’Apple.
La vulnérabilité, découverte par le chercheur Jan Soucek, exploite l’incapacité de Mail à filtrer les balises HTML potentiellement dangereuses. Lorsque la victime reçoit le courriel malveillant, une fenêtre identique lui demandant son nom d’utilisateur et son mot de passe s’affiche dès l’ouverture du message. Et c’est un gros problème, si l’on considère qu’iOS affiche effectivement la fenêtre à des moments inattendus.
La vidéo montre comment on peut explorer ce fossé :
Comment savoir si la fenêtre est fausse ? La différence fondamentale est que l’original est modal, c’est-à-dire que vous ne pourrez rien faire tant que vous n’aurez pas cliqué sur le bouton OK ou annulé l’opération. Le faux formulaire peut facilement être retiré en appuyant sur le bouton Accueil ou en passant à une autre application. De plus, si votre appareil est doté d’un Touch ID et que vous vous êtes récemment connecté ? il y a un problème, n’est-ce pas ?
Bien que les instructions JavaScript soient ignorées par Mail, il est possible de monter un collecteur de mots de passe pleinement fonctionnel uniquement en utilisant HTML et CSS. Et comme le client ne filtre pas les balises dangereuses, le courrier peut être monté de manière à éveiller le moins de soupçons possible… par exemple, en affichant le formulaire une seule fois, au lieu d’apparaître à chaque fois que l’utilisateur ouvre le message.
Le bogue a été signalé à Apple le 15 janvier et n’a pas encore été corrigé. En raison de la lenteur, le chercheur a publié le code source de la preuve de concept à GitHub.
