Mail, l’application de courrier électronique du système iOS d’Apple, souffre d’une faille de sécurité qui, si elle était exploitée, pourrait servir à dérober l'identifiant et le mot de passe d'un compte iCloud. Après avoir averti Apple il y a plusieurs mois, l’informaticien qui a découvert cette vulnérabilité a décidé de la rendre publique afin de pousser la marque à agir.
Depuis le mois de janvier, Apple a été informé de l’existence d’une faille de sécurité dans l’application Mail d’iOS. Si elle venait à être exploitée de façon malintentionnée, elle pourrait servir à voler des identifiants iCloud. Face à l’absence de réaction d’Apple, l’informaticien à l’origine de cette découverte a décidé de rendre l'information publique.

Mauvaise nouvelle pour les utilisateurs de terminaux iOS. Cette semaine, un informaticien, Jan Soucek, a révélé l'existence d'une faiblesse dans Mail, le logiciel de gestion des courriers électroniques développé par Apple. Exploitée par une personne malintentionnée, elle pourrait servir à envoyer un mail de hameçonnage (« phishing ») afin de dérober l'identifiant et le mot de passe d'un compte iCloud.Sur GitHub, où il a mis en ligne le détail de sa découverte, l'informaticien explique que « le bug permet à du contenu HTML distant d'être chargé afin de remplacer le contenu initial du message reçu par mail. Le JavaScript est désactivé [...] mais il est encore possible de mettre au point un récupérateur de mots de passe fonctionnel en utilisant simplement du HTML et du CSS ».



Pour mieux illustrer le fonctionnement de la vulnérabilité, Jan Soucek a enregistré cette petite vidéo. © eskocz, YouTube
Apple informé depuis le mois de janvier

Dans la vidéo ci-dessus, on peut voir qu'il est a priori assez aisé de duper l'utilisateur si le message frauduleux parvient à imiter le comportement attendu d'iOS ainsi que son interface graphique. La victime, si elle est imprudente, peut alors renseigner son identifiant et son mot de passe dans les champs prévus à cet effet sans se douter qu'elle est la cible d'une tentative de hameçonnage.Jan Soucek explique qu'il a découvert cette brèche il y a déjà plusieurs mois. Une notification a été envoyée à Apple le 15 janvier afin que l'entreprise américaine prenne les mesures adéquates pour la combler. Devant l'inaction du groupe, l'informaticien a cependant décidé de changer d'approche en publiant ses travaux sur GitHub le 7 juin, dans l'espoir de forcer Apple à publier un correctif.