Une faille critique dans l’application “Mots de passe” d’Apple

L’application Mots de passe d’Apple, lancée avec iOS 18, a été touchée par une faille de sécurité majeure, exposant les utilisateurs à des attaques de phishing pendant près de trois mois. En raison de connexions non sécurisées à certains sites web, des pirates pouvaient intercepter et rediriger les utilisateurs vers de faux sites pour voler leurs identifiants.

Trois mois de vulnérabilité aux attaques de phishing

Apple a lancé son application autonome “Mots de passe” avec iOS 18, macOS Sequoia et iPadOS 18, intégrant un gestionnaire de mots de passe plus accessible et intuitif que le Trousseau iCloud classique. Cependant, une vulnérabilité majeure a été découverte, laissant les utilisateurs exposés à des attaques de phishing pendant près de trois mois après son lancement.

Selon une enquête de Mysk, un groupe de chercheurs en sécurité, l’application Mots de passe contactait environ 130 sites web via des connexions HTTP non sécurisées. Cela signifiait que lorsqu’un utilisateur tentait d’accéder à une page de connexion ou de réinitialisation de mot de passe via l’application, la requête pouvait être interceptée et manipulée par un attaquant.

Un risque majeur d’attaques de type “Man-in-the-Middle”

Le principal danger venait du fait que Mots de passe ne forçait pas l’utilisation du protocole HTTPS, pourtant standard pour sécuriser les communications web. Si un utilisateur se trouvait sur un réseau non sécurisé, comme le Wi-Fi public d’un café ou d’un aéroport, un attaquant connecté au même réseau pouvait intercepter ces requêtes HTTP et les rediriger vers un site malveillant.

Un pirate pouvait ainsi créer une fausse page de connexion, imitant un service comme Microsoft, Google ou un réseau social. L’utilisateur pensait être sur un site officiel et entrait ses identifiants, qui étaient alors directement envoyés aux hackers.

Certains sites web redirigent automatiquement le trafic HTTP vers HTTPS, mais ce n’était pas suffisant pour éviter ce type d’attaque, car un attaquant pouvait intercepter et modifier la requête avant même que la redirection ne s’effectue.

Une correction tardive avec iOS 18.2

Apple a corrigé cette faille avec la mise à jour iOS 18.2 en décembre 2024, en imposant l’utilisation systématique du protocole HTTPS pour toutes les connexions établies par l’application Mots de passe. Toutefois, la marque n’a communiqué publiquement sur cette correction que récemment, ce qui soulève des questions sur la transparence en matière de cybersécurité.

Les utilisateurs n’ayant pas encore installé la mise à jour iOS 18.2 ou une version ultérieure sont toujours exposés à cette vulnérabilité. Il est donc fortement recommandé de vérifier que son appareil est à jour pour éviter tout risque d’attaque.

Apple face aux défis de la cybersécurité

Cette affaire rappelle qu’aucun système, même conçu par Apple, n’est totalement exempt de vulnérabilités. Bien qu’Apple ait mis en place un correctif relativement rapide, cette faille souligne l’importance de toujours maintenir ses logiciels à jour et d’adopter des pratiques de cybersécurité rigoureuses en toutes circonstances.