« Un utilisateur occupant une position privilégiée sur le réseau pourrait être en mesure de divulguer des informations sensibles » : cette phrase ne dit rien de bon, encore moins lorsqu’elle figure dans les notes de sécurité d’iOS 18.2, surtout dans la rubrique « Mots de passe ». L’air de rien, Apple vient de révéler que pendant trois mois, l’application Mots de passe a souffert d’un bug qui pouvait exposer ses utilisateurs à des attaques de l’homme du milieu.
Le lièvre a été levé par les chercheurs en sécurité de la petite entreprise Mysk, qui ont remarqué que l’application Mots de passe utilisait une simple connexion HTTP pour récupérer les icônes des sites web, mais aussi pour ouvrir leur page de réinitialisation du mot de passe. Autrement dit : un malandrin connecté au même réseau que vous, comme un réseau Wi-Fi public, pouvait observer le trafic web en provenance de l’application Mots de passe sur votre machine.
La probabilité d’une exploitation de cette faille est faible, mais en théorie, il aurait été possible de rediriger votre requête pour récupérer vos identifiants par phishing. La solution est simple : forcer une connexion sécurisée en HTTPS pour camoufler le contenu des requêtes venant de votre machine. Apple a corrigé cette faille qui touchait aussi macOS, iPadOS et visionOS dans le courant du mois de décembre, mais a attendu hier avant de la divulguer.
Source :
