Apple a modifié le comportement de son application Mots de passe, lancée avec iOS 18, en raison d’une vulnérabilité liée aux connexions HTTP. Pendant trois mois, entre iOS 18 et iOS 18.2, l’application pouvait être sujette aux attaques par phishing à cause de l’absence du HTTPS.

Mots de Passe Application iPhone

L’usage du HTTP dans l’application Mots de passe d’Apple

C’est le groupe de chercheurs en sécurité Mysk qui a mis en lumière ce problème après avoir remarqué, dans le rapport sur la confidentialité des applications, que l’application Mots de passe d’Apple avait contacté 130 sites différents via des connexions HTTP non sécurisées. En menant leur enquête, ils ont découvert que l’application ne se contentait pas de télécharger des logos de comptes via HTTP, mais qu’elle ouvrait également les pages de réinitialisation de mot de passe par défaut via ce même protocole non chiffré.

Cela représentait un risque considérable : un attaquant, capable d’intercepter ces requêtes HTTP, pouvait rediriger l’utilisateur vers un site de phishing, imitant à la perfection la page de réinitialisation de mot de passe d’un service en ligne comme Google, Microsoft ou autre.

Voici une démonstration en vidéo :

Le HTTPS imposé avec iOS 18.2

Mysk a exprimé sa surprise face à l’absence de contrainte d’utilisation du protocole HTTPS par défaut pour une application aussi sensible que Mots de passe. Selon les chercheurs en sécurité, Apple aurait dû forcer l’utilisation d’un protocole sécurisé pour éviter toute exploitation. De plus, les experts soulignent qu’une option permettant aux utilisateurs soucieux de leur sécurité de désactiver le téléchargement des icônes de comptes aurait été un ajout utile.

Les sites modernes redirigent automatiquement les requêtes HTTP vers HTTPS, garantissant une connexion sécurisée. Toutefois, si un utilisateur se trouve sur un réseau non sécurisé, comme celui d’un café ou d’un aéroport, un attaquant pourrait intercepter ces requêtes avant la redirection et manipuler le trafic pour envoyer l’utilisateur sur un site de phishing.

Apple a fait le nécessaire en imposant le HTTPS avec iOS 18.2. La mise à jour est disponible depuis décembre 2024, mais Apple a seulement communiqué publiquement cette semaine sur cette affaire.