Ceux qui utilisent les appareils iOS sont probablement tombés sur une fenêtre contextuelle qui surgit de nulle part et qui vous demande votre mot de passe Apple ID. Il peut apparaître sur l’App Store et également en dehors de celui-ci, si un processus se déroule en arrière-plan.
Comme le souligne le développeur Felix Krause, cela expose les utilisateurs à des attaques de phishing, avec des pop-ups qui semblent légitimes mais qui volent votre mot de passe Apple ID.
M. Krause explique qu’il est incroyablement facile de recréer l’invite du mot de passe : il y a moins de 30 lignes de code qui peuvent apparemment être placées dans n’importe quelle application iOS légitime et passer par l’analyse de l’App Store.
“Montrer une boîte de dialogue qui ressemble à une pop-up du système est très facile, il n’y a pas de code magique ou secret. C’est littéralement dans les exemples fournis par les documents d’Apple, mais avec un texte personnalisé”, écrit M. Krause sur son blog.
Le développeur a lancé un appel à Apple pour résoudre ce problème. Sa suggestion : demander à l’utilisateur d’aller dans les paramètres de l’iOS pour mettre le mot de passe, au lieu de le saisir dans les pop-ups.
Bien que ce problème ne soit pas résolu, il suggère un palliatif simple : lorsque la fenêtre contextuelle apparaît, appuyez sur le bouton “Home”. Si elle disparaît, c’est qu’il s’agit d’une tentative d’hameçonnage ; sinon, c’est une boîte de dialogue du système ? elle s’exécute dans un processus séparé sur iOS, et non dans le cadre d’une application.
Une autre possibilité consiste à appuyer sur “Annuler” dans la fenêtre contextuelle et à aller manuellement dans les paramètres pour saisir le mot de passe. C’est la même idée qui se cache derrière le fait de ne pas cliquer sur les liens des courriels, mais de saisir l’adresse dans le navigateur.