Les fenêtres d'alerte qu'iOS affiche de manière intempestive afin d'obtenir le mot de passe d'un identifiant Apple sont parfois un peu pénibles lorsqu'elles apparaissent au petit bonheur la chance. Mais c'est pire encore si ces mêmes pop-up servaient de leurres à des tentatives d'hameçonnage. Le développeur Felix Krause s'alarme de potentielles attaques par ce biais — fort heureusement, aucune n'a été référencée pour le moment.
Pour éviter qu'un malandrin s'inspire de cette trouvaille, Krause ne fournit pas le code nécessaire pour l'affichage de ce type de fenêtre, mais ce dernier constate que l'attaque est « facile à répliquer », et même les yeux avertis d'un utilisateur aguerri peuvent s'y tromper : l'interface de la boîte de dialogue trompeuse est identique à son modèle.
Pire encore, certaines boîtes « officielles » d'iOS, là aussi très faciles à reproduire par une app malicieuse, demandent d'entrer l'identifiant : une information précieuse qui peut ensuite servir à alimenter une seconde boîte réclamant le mot de passe. Exemple :
Les brigands qui s'adonneraient à cette méthode de phishing misent sur la mémoire musculaire des utilisateurs : ils ont en effet l'habitude de saisir machinalement et de façon presque automatique leur mot de passe quand cette fenêtre apparait. Pourtant, il n'est pas anodin de donner ce genre d'information : derrière se trouvent en effet de très sensibles données confidentielles, ne serait-ce que les renseignements bancaires.
Comment se protéger d'une telle attaque ? Le réflexe à avoir est de jouer la prudence et éviter de se précipiter pour saisir le mot de passe. En cliquant sur le bouton d'accueil, une boîte de dialogue authentique qui demande la saisie d'un mot de passe d'identifiant Apple reste affichée, tout comme l'app en dessous. Il faut toucher le bouton Annuler pour reprendre la main sur le système.
Appuyer sur le bouton d'accueil quand une fausse fenêtre de dialogue du même genre est à l'écran aura pour effet de revenir à l'écran d'accueil de l'iPhone ou de l'iPad. Cela signifiera que cette fenêtre est potentiellement dangereuse.
Felix Krause, qui a averti Apple du danger, a plusieurs propositions pour corriger le tir : demander la saisie du mot de passe dans les réglages et non pas au sein de la fenêtre de dialogue ; afficher dans la boîte de dialogue l'icône de l'app qui réclame l'identifiant, afin que l'utilisateur sache qui lui demande cette authentification — et la lui accorde, ou pas. Que cela n'exonère pas Apple de plancher sur la baisse de la fréquence d'affichage de cette boîte de dialogue.
