Les utilisateurs de l’application Passwords confrontés à des risques de phishing pendant trois mois
Une vulnérabilité découverte et corrigée dans iOS 18.2
18 mars 2025, 21:27 UTC
Apple a récemment corrigé un bug dans l’application Passwords de l’iOS 18.2, qui, pendant trois mois à partir du lancement de l’iOS 18, exposait les utilisateurs à des attaques de phishing.
Cette correction a été soulignée dans une mise à jour de sécurité d’Apple, repérée par 9to5Mac.
La faille de sécurité expliquée par Apple
Selon la description fournie par Apple, le problème résidait dans le fait qu’un utilisateur connecté à un réseau avec des privilèges spécifiques pourrait potentiellement divulguer des informations sensibles.
« Impact : Un utilisateur dans une position réseau privilégiée pourrait être en mesure de divulguer des informations sensibles. Description : Ce problème a été résolu en utilisant HTTPS lors de l’envoi d’informations via le réseau. »
Comment une telle vulnérabilité a-t-elle pu survenir ?
Comme le rapporte 9to5Mac, l’application Passwords envoyait des requêtes non chiffrées pour les logos et icônes associés aux sites de vos mots de passe enregistrés.
Cette absence de chiffrement permettait à un attaquant présent sur le même réseau Wi-Fi que l’utilisateur, par exemple dans un aéroport ou un café, de rediriger le navigateur de la victime vers un site de phishing ressemblant, conçue pour voler ses identifiants de connexion.
Découverte et rapport par des chercheurs en sécurité
Cette faille a initialement été découverte par des chercheurs en sécurité de l’entreprise Mysk. Dans la description d’une vidéo YouTube démontrant le bug, Mysk indique avoir signalé pour la première fois cette vulnérabilité en septembre.
Correctifs déployés pour les appareils Apple
Apple a également décrit cette même vulnérabilité dans les mises à jour de sécurité pour le Mac, iPad et le Vision Pro. Ces correctifs témoignent de l’engagement d’Apple à renforcer la sécurité de ses appareils dans un souci de protection de ses utilisateurs.
