Apple, plus sécurisé que n’importe quel autre écosystème ? Possible. En attendant, Cupertino a laissé traîner une vulnérabilité critique dans son gestionnaire de mots de passe, et s’est bien gardée d’en parler trop fort.
Trois mois. C’est le temps qu’il a fallu à Apple pour corriger une faille de sécurité majeure (CVE-2024-44276) dans son application Passwords, lancée avec iOS 18. En cause, le recours systématique au protocole HTTP par défaut dans des conditions spécifiques, y compris pour certaines opérations sensibles, exposant ouvertement utilisateurs et utilisatrices aux tentatives de phishing.
Une erreur de protocole impardonnable
C’est en analysant le trafic réseau du gestionnaire de mots de passe d'Apple que les développeurs-chercheurs de Mysk ont mis le doigt sur l’impensable : dans certaines situations précises, l’application Passwords passait par le protocole non sécurisé HTTP. Oups.
Or donc, en poussant l’analyse plus loin, les développeurs ont identifié très précisément deux comportements problématiques. Premièrement, Passwords récupérait les logos et les icônes associés aux sites enregistrés par les internautes via des requêtes HTTP, donc non chiffrées. Pas de menace directe en soi, mais un processus qui révèle toutefois un manque flagrant de rigueur pour une application censée sécuriser des données hautement confidentielles.
Deuxièmement, et c’est là le véritable danger, l’application ouvrait systématiquement les pages de réinitialisation de mot de passe via HTTP par défaut. Si, en général, les sites web redirigent immédiatement les utilisateurs vers une version HTTPS sécurisée, cette étape préliminaire en HTTP exposait les utilisateurs et utilisatrices à des attaques de type man-in-the-middle. En clair, il aurait suffi qu'un pirate connecté au même réseau que sa victime intercepte la requête HTTP et de la rediriger vers un site de phishing pour récupérer ses identifiants.
Apple a finalement corrigé ce défaut dans la version 18.2 d’iOS, publiée en décembre dernier, mais n’a officiellement communiqué à son sujet que très récemment, le 17 mars 2025. Si vous utilisez l’application Passwords, vous savez ce qu’il vous reste à faire.
19 mars 2025 à 17h14
