Décidemment, l’application de messagerie Apple Mail, installée d’office sur les terminaux de type iPhone et les tablettes iPad fait beaucoup parler d’elle ces derniers temps, et malheureusement pour la firme à la pomme, pas toujours en termes élogieux. Cette fois, il s’agit d’un problème important de sécurité.
Exploiter une particularité d’Apple Mail pour mieux vous tromper
Une nouvelle faille a été découverte et remontée chez Cupertino. Plus qu’une faille, il s’agit de profiter d’une particularité du client de messagerie pour tromper les utilisateurs, afin que ces derniers renseignent leur identifiant et mot de passe de compte iCloud, donnant ainsi libre accès à leurs fichiers stockés sur ce nuage Mac.
L’application Apple Mail a ceci de particulier qu’elle ne filtre pas un certain type de balise HTML permettant de modifier l’affichage d’un message, quand ce dernier est chargé dans l’application. Grosso modo, l’aperçu du message dans l’application diffère de la manière dont ce dernier sera affiché une fois rapatrié depuis le serveur. Cela n’est pas possible avec Outlook ou Gmail, par exemple et c’est cette particularité qu’a su exploiter le chercheur en sécurité informatique Jan Soucek.
Il a alors généré un code ordonnant d’afficher un faux pop-up qui ressemble à s’y méprendre à ceux s’affichant de manière tout à fait légitime dans iOS et vous demandant de renseigner votre identifiant, ainsi que votre mot de passe. Pensant que cette requête est légitime, vous y répondez sans crainte, sauf que ces informations sont alors transmises au petit malin qui vous a envoyé ce courrier trompeur.
Pas de correctif pour le moment chez Apple
C’est Jan Soucek lui-même qui a annoncé la découverte de cette faille à la presse. Il avait pourtant informé Apple de cette vulnérabilité dès janvier dernier, mais la firme de Cupertino n’a jusqu’à présent pas semblé juger bon de réagir. En effet, aucun correctif n’a à ce jour été proposé par Apple. Pourtant, toutes les versions de son système iOS sont touchées, à partir de la version 8.1.2. Une actualisation de la version 8.4, devrait voir le jour le 30 juin prochain. Cette faille sera-t-elle comblée à cette occasion ?
