Apple a corrigé en décembre une faille de sécurité dans son application Passwords (Mots de Passe en français), lancée avec iOS 18. Pendant trois mois, une erreur dans la gestion des connexions réseau a laissé les utilisateurs vulnérables à des attaques de phishing. Un attaquant sur le même réseau Wi-Fi pouvait rediriger l’utilisateur vers un faux site et récupérer ses identifiants.
Une requête HTTP non sécurisée
Vous le savez, avec iOS 18, Apple a transformé son gestionnaire de mots de passe Keychain en une application à part entière : Passwords. Mais un problème de sécurité est vite apparu. L’application envoyait des requêtes non chiffrées via HTTP pour récupérer les icônes des sites enregistrés. Ce type de connexion, aujourd’hui considéré comme obsolète et risqué, a permis à des attaquants situés sur le même réseau Wi-Fi d’intercepter le trafic.
Les chercheurs en sécurité de Mysk ont repéré l’anomalie en septembre 2024 en analysant l’App Privacy Report d’iOS. Ils ont constaté que Passwords contactait plus de 130 sites en HTTP, ce qui leur a mis la puce à l’oreille. En creusant, ils ont découvert que l’application pouvait aussi ouvrir certaines pages de réinitialisation de mot de passe via le protocole non sécurisé. Résultat : un attaquant pouvait détourner ces requêtes pour afficher un faux site et piéger l’utilisateur.
"toto123"
Un risque limité mais réel
Dans la plupart des cas, les sites modernes redirigent automatiquement le trafic HTTP vers HTTPS. Mais cette protection devient inefficace si un attaquant intercepte la connexion avant la redirection. Les réseaux Wi-Fi publics, comme ceux des cafés ou des aéroports, sont les plus à risque, car un cybercriminel peut facilement s’y connecter et surveiller le trafic réseau. Heureusement, l’exploit n’était pas systématique. Pour être victime, il fallait se connecter à un réseau compromis, ouvrir l’application Passwords, cliquer sur un lien pour accéder à un site et tomber sur un attaquant capable d’intercepter et de modifier la requête en temps réel. Autant dire que ça n’était pas des plus simples.
Notez que l’autocomplétion des mots de passe sur les navigateurs et applications n’était pas concernée.
Correction et mise à jour discrète
Apple a corrigé le problème en décembre 2024 avec iOS 18.2, en forçant l’application à utiliser uniquement HTTPS. Mais la marque n’a officiellement révélé l’existence de cette faille que le 17 mars 2025. Cette communication tardive est probablement voulue pour éviter d’alerter des attaquants potentiels avant que la majorité des utilisateurs aient mis à jour leur appareil.
Si vous utilisez encore une version antérieure à iOS 18.2, il est conseillé d’installer la mise à jour sans tarder. Pour plus de sécurité, mieux vaut aussi changer ses mots de passe sensibles et éviter de cliquer sur des liens de connexion sur des réseaux Wi-Fi publics, mais ce conseil vaut toute l’année, avec ou sans failles.
