iOS : une méthode de phishing particulièrement vicieuse fait son apparition

De GomeWars Auteur - Posté le 12 octobre 2017 à 17h00 dans High-tech

Vous aimez nos articles ? Suivez nous sur facebook

Vous aimez nos articles ? Suivez nous sur twitter

Lorsque vous êtes sur iPhone, l'App Store vous demande souvent le mot de passe de votre compte. Que ce soit par mesure de sécurité pour valider un achat, télécharger une application ou simplement vérifier que vous êtes bien là, taper son mot de passe iTunes peut s'apparenter à la routine. Attention toutefois, une méthode de phishing particulièrement vicieuse vient de faire son apparition. 

Du phishing discret, très discret

Son créateur, Félix Krause, ne l'a pas conçu pour causer du tort aux utilisateurs d'iOS, mais plutôt pour les avertir. Le développeur vient de prouver qu'avec un peu de travail, il était possible de recréer la boite de dialogue vous demandant votre mot de passe, dès l'ouverture d'une application. Ainsi, l'utilisateur inattentif le rentre, et le divulgue sans effort. Un bon moyen de récolter des mots de passe sans forcer et ce, avec seulement 30 lignes de code. 

"J'ai décidé de ne pas rendre public le code du pop-up. Tous les ingénieurs iOS peuvent créer leur propre code de phishing avec moins de 30 lignes de code." 

1

Même si le code n'est pas donné explicitement, l'idée est là et selon Krause, l'application semble relativement aisée. Pas d'inquiétude, se protéger est facile, mais demande un minimum d'attention et de rigueur. Il suffit : 

  • Appuyer sur le bouton Home et voir si l'application s'arrête : 

- Si l'application et la boite de dialogue se ferment, c'est du phishing. 

- Si l'application et la boite de dialogue sont toujours visibles, c'est normal. Le système lié aux dialogues fonctionne via un processus différent de l'application. 

  • N'entrez pas vos codes confidentiels dans une pop-up. À la place, annulez-le et ouvrez les réglages manuellement. Ce mécanisme sécurise l'action et ne vous expose pas aux tentatives de phishing. 
  • Si vous appuyez sur le bouton "annuler", l'application aura toujours accès au contenu présent dans le champ lié au mot de passe. Même si vous n'avez entré que les premiers caractères, il sera certainement déjà trop tard. 

1

Apple a beau filtrer du mieux qu'il peut pour surveiller les applications tentant de faire leur apparition sur sa plate-forme de téléchargement, il est fort possible que les modifications dans les lignes de code soient réalisables après validation. Plusieurs astuces sont livrées par Krause comme des outils de publication après validation ou une introduction des lignes de code après l'approbation par Apple. Quoiqu'il en soit, espérons juste que Félix Krause ne vient pas de donner de mauvaises idées à des milliers de développeurs avides de mots de passe. 

Une erreur ?

Mots-Clés : iOSphishingFélix Krause

Source(s) : Krausefx

Cliquez sur une phrase de l'article pour proposer une correction.

J'ai compris !

Commentaires (10)

Par Guiguiche, il y a 1 semaine :

Pour ma part je risque rien, je suis sous Android...

Répondre à ce commentaire

Par Jack, il y a 1 semaine (en réponse à Guiguiche):

C'est justement parce que tu es sur android que tu dois encore plus faire attention car le système est bien plus "ouvert"...

Répondre à ce commentaire

Par Eldayia, il y a 1 semaine :

En même temps, c'est quoi cette idée de demander le mot de passe en dehors du store lors d'un achat éventuellement ?

Répondre à ce commentaire

Par Stripote, il y a 1 semaine :

AH AH !

Quand un des arguments de base des pompom c'est la sécurité lié à leur OS propriétaire... Qu'ils sont meugnons

Répondre à ce commentaire

Par Jack, il y a 1 semaine (en réponse à Stripote):

Tu es du genre à ne pas prendre l'avion car des fois y'a des crashs aussi ?

Répondre à ce commentaire

Par Stripote, il y a 6 jours (en réponse à Jack):

Non. Mais je ne suis pas de ceux qui disent que l'avion est infaillible.

Ca me fait juste marrer d'entendre des "Oui mais sur iOS y a pas de virus".

Répondre à ce commentaire

Par Kaaris, il y a 6 jours (en réponse à Stripote):

Personne ne dit ça. Tu vis encore en 2005 ?

Répondre à ce commentaire

Par Kerwal, il y a 6 jours (en réponse à Stripote):

Bah, ils ont raison : c'est pas d'un virus qu'on parle ici mais d'une technique de phishing.

Répondre à ce commentaire

Par Aqrave, il y a 7 jours :

quoi qu'il en soit, l'iphone est un vrai aspirateur a gonzesse

Répondre à ce commentaire

Par morty_mocfly, il y a 6 jours (en réponse à Aqrave):

Lol comment ça ?

Répondre à ce commentaire

Laisser un commentaire

Votre adresse e-mail ne sera pas visible. Pour avoir une image de profil, utilisez le service gravatar.

Tu es membre premium car tu as commandé une HITEKBOX. Tu peux donc ajouter des smileys et des images.

Derniers tests
Critique de Thor: Ragnarok, le film le plus WTF de l'année 2017 ? Casting, synopsis et avis des spectateurs

Thor: Ragnarok

Il y a 19 minutes

Note : 8,1666666666667
Test Sine Mora EX, un shoot'em up old school comme on aime

Sine Mora EX

Il y a 1 jour

Note : 8,2
Test : The Evil Within 2, l'horreur au tournant

The Evil Within 2

Il y a 1 semaine

Note : 8