Une faille critique dans l’application “Mots de passe” d’Apple

passwords icone app ipa iphone ipadL’application Mots de passe d’Apple, lancée avec iOS 18, a été touchée par une faille de sécurité majeure, exposant les utilisateurs à des attaques de phishing pendant près de trois mois. En raison de connexions non sécurisées à certains sites web, des pirates pouvaient intercepter et rediriger les utilisateurs vers de faux sites pour voler leurs identifiants.

Trois mois de vulnérabilité aux attaques de phishing

Apple a lancé son application autonome “Mots de passe” avec iOS 18, macOS Sequoia et iPadOS 18, intégrant un gestionnaire de mots de passe plus accessible et intuitif que le Trousseau iCloud classique. Cependant, une vulnérabilité majeure a été découverte, laissant les utilisateurs exposés à des attaques de phishing pendant près de trois mois après son lancement.

Selon une enquête de Mysk, un groupe de chercheurs en sécurité, l’application Mots de passe contactait environ 130 sites web via des connexions HTTP non sécurisées. Cela signifiait que lorsqu’un utilisateur tentait d’accéder à une page de connexion ou de réinitialisation de mot de passe via l’application, la requête pouvait être interceptée et manipulée par un attaquant.

Un risque majeur d’attaques de type “Man-in-the-Middle”

Le principal danger venait du fait que Mots de passe ne forçait pas l’utilisation du protocole HTTPS, pourtant standard pour sécuriser les communications web. Si un utilisateur se trouvait sur un réseau non sécurisé, comme le Wi-Fi public d’un café ou d’un aéroport, un attaquant connecté au même réseau pouvait intercepter ces requêtes HTTP et les rediriger vers un site malveillant.

Un pirate pouvait ainsi créer une fausse page de connexion, imitant un service comme Microsoft, Google ou un réseau social. L’utilisateur pensait être sur un site officiel et entrait ses identifiants, qui étaient alors directement envoyés aux hackers.

Certains sites web redirigent automatiquement le trafic HTTP vers HTTPS, mais ce n’était pas suffisant pour éviter ce type d’attaque, car un attaquant pouvait intercepter et modifier la requête avant même que la redirection ne s’effectue.

passwords mots de passe apple

Une correction tardive avec iOS 18.2

Apple a corrigé cette faille avec la mise à jour iOS 18.2 en décembre 2024, en imposant l’utilisation systématique du protocole HTTPS pour toutes les connexions établies par l’application Mots de passe. Toutefois, la marque n’a communiqué publiquement sur cette correction que récemment, ce qui soulève des questions sur la transparence en matière de cybersécurité.

Les utilisateurs n’ayant pas encore installé la mise à jour iOS 18.2 ou une version ultérieure sont toujours exposés à cette vulnérabilité. Il est donc fortement recommandé de vérifier que son appareil est à jour pour éviter tout risque d’attaque.

Apple face aux défis de la cybersécurité

Cette affaire rappelle qu’aucun système, même conçu par Apple, n’est totalement exempt de vulnérabilités. Bien qu’Apple ait mis en place un correctif relativement rapide, cette faille souligne l’importance de toujours maintenir ses logiciels à jour et d’adopter des pratiques de cybersécurité rigoureuses en toutes circonstances.

9 réactions

Iznogud - iPhone

@neiluj

Celui de Bitwarden est open source donc on peut savoir ce qui est fait avec. Pas celui d’Apple encore une fois.

19/03/2025 à 09h00

Iznogud - iPhone

@neiluj

Bitwarden est recommandé comme gestionnaire de mots de passe. Pas celui d’Apple. Y’a quoi voir avec cette faille.

19/03/2025 à 08h59

neiluj - iPhone

@Iznogud
Mouais… quand je lis « multi » je comprend que c’est compatible avec beaucoup de système donc faut gérer beaucoup de failles potentielles… je préfère rester only Apple!… déjà qu’avec cette unicité c’est pas 100% sûr alors je n’imagine même pas avec un outil compatible avec tout le monde…

19/03/2025 à 08h40

Iznogud - iPhone

@Greg62,

Des mecs arrivent à pirater la NSA, c’est pas Apple qui va les bloquer. Le risque 0 n’existe pas.

Pour en revenir au service d’Apple, mieux vaut passer par Bitwarden, qui est open-source, audité de nombreuses fois et qui est multi plateforme.

19/03/2025 à 07h17

Maybeme - iPhone premium

@Greg62
Personne n’est impossible à pirater, et ceux qui s’en rapprochent sont rarement des entreprises tech grand public justement 🙃

19/03/2025 à 02h05

GuiJacq - iPhone premium

Voilà pourquoi je ne me connecte jamais à aucun wifi public. Toujours passer en cellulaire hors de chez soi ou à son domicile avec un modem configuré correctement. Ça limite déjà grandement l’exploitation de ce type de faille.

19/03/2025 à 01h33

Dkl - iPhone

Comme par hasard

18/03/2025 à 20h50

Greg62 - iPhone premium

Je pense même à supprimer tout mes mots de passe de cette application

18/03/2025 à 19h36

Greg62 - iPhone premium

Ça fait un peu peur quand même… moi qui croyais qu’Apple était impossible à pirater 😕

18/03/2025 à 19h35

Donnez votre avis
Cliquez pour commenter
Vous aimerez peut-être

Suivez-nous avec notre app iSoft
Articles populaires
Les derniers articles