Parvenez-vous à faire la différence entre les deux captures d’écran si dessus ? Les différences sont quasi imperceptibles et les deux requêtes paraissent légitimes. En effet, iOS vous a habitué depuis la toute première version à vous demander le mot de passe de votre compte Apple de façon inopinée, à travers plusieurs applications (notamment lorsqu’elles demandent des achats in-app).
Pourtant, la fenêtre de droite ne vient pas d’Apple, mais a été développée par un employé de Google pour qu’elle ressemble le plus possible à l’originale. Résultat, l’utilisateur donnera probablement son mot de passe au développeur puisqu’il n’y a visiblement aucune raison de douter de cette fenêtre.
Avec cette démonstration, Félix Krause veut alerter la marque à la pomme concernant cette dangereuse faille et sensibiliser le plus d’utilisateurs possible. Il explique avoir pu développer la fenêtre d’interrogation très facilement en moins de 30 lignes de codes et en utilisant le guide d’Apple fourni aux développeurs pour créer des pop-up.
Il n’est même pas nécessaire de connaitre l’adresse e-mail de l’utilisateur comme sur la première capture d’écran, puisque Apple peut aussi faire apparaitre des demandes sans montrer l’adresse mail, comme le développeur le montre avec cette seconde capture.
Comment détecter une fenêtre malveillante
Maintenant que cette faille est publique, il ne fait aucun doute que des développeurs vont tenter de l’exploiter. Malgré la vérification d’Apple avant la publication d’une application sur l’App Store il sera également très simple pour un développeur de mettre en place une telle demande malveillante. Il est en effet assez simple de faire exécuter du code qui n’a pas été revu en passant par du code hébergé sur le web. Il s’agit d’une méthode parfois utilisée par les développeurs pour déployer des mises à jour rapidement, avant la certification des boutiques d’applications.
Pour se protéger de ce danger et vérifier qu’une demande est légitime, il suffit de cliquer sur le bouton home. Si l’application se ferme, il s’agissait d’une demande venant de l’application. Dans le cas contraire, si la fenêtre reste, il s’agit d’une demande du système, et donc d’Apple.
Apple doit rapidement corriger ce problème
Félix Krause propose plusieurs solutions à Apple pour corriger facilement ce problème. La firme pourrait notamment demander à l’utilisateur d’accéder aux paramètres du téléphone, plutôt que de demander directement le mot de passe. Quoi qu’il en soit, il s’agit d’un problème qu’Apple devra rapidement corriger.
Téléchargez notre application Android et iOS ! Vous pourrez y lire nos articles, dossiers, et regarder nos dernières vidéos YouTube.
Toujours aussi peu d'arguments et pas plus constructif que par le passé... ^^
En tout cas tu ne vas pas me manquer c'est certain ! ;)
T'es pas dans mon camp ? Donc t'es un fanboy apple qui aime bouffer de la merde ? Lol ptdr xptdr Allez, le bisou et blacklist.
Tes xptdr lol MDR ne m'avaient pas manqué en tout cas. Allez, salut le troll.
Oh pour ce qui est de te connaitre je te connais bien et même si tu ne possèdes plus de produits Apple, ça ne t'a pas empêché de défendre cette marque becs et ongles malgré tes dénégations, à moins que ce n'était que dans le but d'être dans les bonnes grâces de Frank, sans qui tu ne pouvais pas vivre. xptdr
Mon camps n'est clairement pas le tien en tout cas puisque qu'on s'est bagarré durant des années sur Clubic et également contre ton camarade Franck et je ne suis pas non plus ton camarade, mec !
Ou pas. Par contre, j'aime bien tacler la redac qui raconte que des conneries dès qu'il s'agit d'Apple, que veux-tu, on aime l'exactitude où on aime bouffer de la... Choisis ton camp, camarade.
Ou comment parler sans savoir... Oui, je suis cette personne, mais si tu savais ce que j'en ai à carrer d'Apple... J'ai passé l'âge et autre chose à faire que défendre ou attaquer machin ou bidule, ça fait pas avancer le schmilblick, et j'ai des actions chez personne. Pour le reste, ça fait belle lurette que j'ai plus aucun produit Apple chez moi, pourtant des smartphones et tablettes, j'en ai en veux-tu en voilà, que ce soit chez xiaomi (redmi note 3 et 4, mi pad 3), elephone s7, umidigi z pro, cube et chuwi en tablettes, et depuis aujourd'hui un maze alpha. Dans mon univers Android, je compte aussi un barre de son xiaomi, une box TV tx8, et bientôt une mi TV box. Plutôt pas mal pour un fanboy Apple, tu trouves pas ? Alors t'es gentil vieux, tes trolls à 2 balles, tu te les gardes, pour rester poli...
Non, ca ce n'est que la conséquence et non sa raison d'être. La raison d'être d'un titre est de faire ressortir l'élément central d'un article de façon concise et efficace. Si l'article a comme sujet principal quelque chose d'intéressant pour le lecture, sujet qui sera mis en exergue par le titre (puisque c'est son rôle), alors cela invitera de fait à la lecture.
Oh ok, je n'avais pas configuré ça ! Enfin bon, ça devrait être automatique ce genre de réglage à partir du moment où tu rentres ton empreinte... Sur le playstore il te propose de prendre le mot de passe ou l'empreinte, c'est quand même plus simple !
Un titre est fait pour inviter à la lecture. Aucun titre n'est conçu pour ne pas donner envie à l'éventuel lecteur de venir lire l'article. (et ça ne date pas du web bien sûr)
Si vous prenez ce principe comme règle d'or principale pour rédiger vos titres, et bien je ne vous dit pas bravo. Le principe d'un titre c'est de faire ressortir un quelques mots l'élément central de l'article, son objectif. Et de fait si l'article traité d'un sujet intéressant les lecteurs et que le titre est bon (i.e: fait bien ressortir l'élément central de l'article), le titre générera des clics. Mais non le principe d'un titre n'est pas de générer du clic. Ici le titre est bon, puisque l'objet principal de l'article est effectivement une méthode de récupération de mot de passe sur iOS. Et si ce sujet intéresse les lecteurs, il générera du clic.
Lors de mon bref passage sur iOS, j'avais été surpris du nombre de fois où l'appareil me demandait mon mot de passe. Mais c'était au début, quand j'installais le tout, que je testais le truc. Après, je ne me souviens pas effectivement qu'il même demandait tant que ça.
Bizarre, les seuls fois où j’ai entrer le mot de passe c’est pour des apps payantes ou achats in app sinon ios me le demande jamais
C’est que pour acheter les apps le mot de passe (il ne le demande pas pour les gratuites) et encore, pas besoin avec Touch ID
On entre le mot de passe sur ios que pour acheter les apps payantes mais pas besoin de mot de passe si on utilise Touch ID
Ce qui change quoi ??? Comme à ton habitude, et cela depuis des années tu passes ton temps à pinailler pour défendre l'éco-système Apple !!!
En quoi le fait de relayer l'information que la technique de phishing ne soit pas nouvelle ne serait pas pertinente puisqu'elle reste usiter et efficace manifestement !!! ^^ Tout ça pour tenter de camoufler le fait que iOS et l'App Store restent faillibles. Je devine que tu restes le même Seb et le switcheur rencontré chez Clubic, il y a quelques années de cela. mdr
Toutafé
Pas d'applications malveillantes sur le Play Store, ça se saurait sinon !
Dans ce cas là double auth est caduc non? Il suffit au dev d'aller un peu plus loin et de gérer la deuxième méthode d'authentification.
Il m'est déjà arrivé de rentrer le mot de passe sans vraiment savoir pourquoi sur iOS (mise à jour peut-être?). En tout cas je me serais certainement fait avoir.
C'est très facile d'activer cette popup après 10 jours par exemple, avec un code hébergé sur un serveur, pour que cela passe la certif...
C'est pourtant bien le cas... sous Android le mot de passe n'est jamais demandé en dehors du play store et on peut être sûr que la demande est légitime. Pas moyen de la savoir sous iOS, permette la capture par n'importe qui du mot de passe de son compte iTunes c'est une grosse faille.
Je viens de test, par défaut ça demande le mot de passe mais tu peux régler pour ça utilise TouchID.
C'est pour cela que j'ai activité la double identification
Autant que pour n'importe quel technique de phishing en fait c'est exactement pareil
C'est juste une pauvre fenêtre qui imite une fenêtre système c'est pas du piratage ça lol ça marche sous n'importe quel OS je faisais ça il y a des années pour piquer les mdp des profs et de mes petits camarades lol. C'est un peu comme si on disait que iOS était moins sécurisé parce qu'on peu se faire choper ses Id par phishing lol
J'aurais dû écrire "vient de découvrir le phishing"...
Ayant possédé un iPhone, le mot de passe n'est pas si demandé que ça. Dans les mêmes cas que sur Android en fait : achats sur le store, achats in-app. Par rapport à un os desktop, on en est très loin.
Bah pour le coup, j'ai pas compris ton commentaire.
Inutile de jouer sur les mots, je pense qu'on s'est compris.
Surtout que la plupart des utilisateurs d'iPhone sont des Madames et monsieurs Michous?
Un coup à passer dans les applis qui ont marqué la semaine !
Ce qui est décrit n'est pas le phishing mais une méthode de phishing.
De mémoire Geohot a réussi à JAILLBREAK liphone quand il avait 12-13 ans... Donc créer une petite fenêtre pop up en utilisant les guidelines d'Apple tout le monde peut le faire !
Ha oui je te confirme que le titre est pensé pour qu'on clique dessus. C'est le principe d'un titre :)
C'est justement expliqué dans l'article pourquoi la certification d'Apple n'est pas un gage de sécurité :)
C'est comme les contrôles d’identité dans la rue; trop souvent ça devient vite pénible. Avec l'iPhone X ça va être contrôle d'identité au "faciès ID" et çà c'est intolérable.
D'ailleurs il me semble que dans le cas d'une installation d'application ou d'une demande de vérification car achats in app ils demandent le mot de passe et pas touch ID non ? En tout cas je crois (j'insiste, je ne suis pas sur) que ça faisait malheureusement ça sur mon 6+
Un jeu d'enfant multijoueur ?
Et oui
Ou comment une pratique qui va a priori dans le sens de la sécurité (demander régulièrement le mot de passe de l'utilisateur) va en fait à l'encontre de la sécurité recherchée.
Un reboot, un réglage pas bien fait, une mise à jour de l'Os, et ça redemande le mot de passe. J'utilise tout le temps touchID sur mon iPhone / iPad et je dois entrer le mot de passe manuellement au moins 10x par semaine.
Monsieur et Madame Michou ? Laissez les tranquille ! Ils n'ont rien d'idiot... Ils n'ont pas d'iphone.
Oui mais là apparemment il exploite une habitude apparemment de toujours demander le mot de passe à tout bout de champ au niveau OS. Sur Android, une telle requête serait inhabituelle.
Est-ce que c'est pas tout simplement caduc du fait de l'utilisation de Touch ID? Vraie question, j'imagine que Touch ID permet de ne pas avoir à entrer le mot de passe. Ainsi tous les utilisateurs ayant un iPhone dernier cri n'auront pas ce problème. Oh wait...
Et tout ce tintamarre avec les portes dérobé avec le FBI pour faire croire qu'ils sont ultra sécurisé https://uploads.disquscdn.com/images/3b84646d61b13993e9cd0cdbe859f56c44043a85b8537340215c1087fb9c4c7a.png
Perso moi je l'ai pas à ecrire
Pas besoin de faire une application complète en phishing, tu fais ton application de base et tu mets le popup dessus tout simplement.
Mouais je suis pas pro Apple mais connaissant la politique draconienne de leur store ça m'étonnerai qu'une appli de phishing passe.
Titralakon, ce super dev vient d'inventer le phishing, quelle prouesse ! Et vous vous relayez cette daube ? Vous volez pas bien haut...
En fait, il faut partir du constat que Monsieur ou Madame Michou, si leur iPhone leur demande leur mot de passe, alors ils le rentreront, et l'article prend tout son sens.
Dans mes souvenirs (je suis sur android depuis toujours, sauf cette expérience rapide iOS), ça avait pop suffisamment souvent pour que ça me gonfle de rentrer mon mot de passe x) J'avais choisi un mot de passe compliqué avec majuscules, caractères spéciaux et autres alternances chiffres / lettres de 14 caractères donc c'est lourd quand tu le rentres trois fois... Dans mes souvenirs ça me le demandait aussi quand j'installais une application aussi, après ça reste à vérifier mais il me semble que c'était ça ^^
iOS demande vraiment le mot de passe autant de fois ?
Pour le coup, je vais dans le sens de Cassim.
Le contenu de l'article n'empeche pas que le titre soit fait pour inciter à cliquer
bof ça semble quand même assez facile de récupérer le pass !
Non il n'a pas tort, c'est vrai que ça me saoulait pas mal de devoir rentrer mon mot de passe iOS sur mon iPhone toutes les 30sec... Au bout d'un moment tu n'y fais plus gaffe, c'est pas du clicbait mais bien une faille de la part de sécu de la part d'Apple vu que (personnellement) je me serais fais avoir...
de moins en moins sécurisé iOs !!! ça fait peur !!! J'espère que Google suit ça de près !
Titre clickbait comme d'hab, vu le rédacteur de l'article
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix