IPB

Bienvenue invité ( Connexion | Inscription )

 
Reply to this topicStart new topic
> Il est possible de dérober un mot de passe iCloud avec une campagne de Phishing, Réactions à la publication du 11/10/2017
Options
Lionel
posté 11 Oct 2017, 06:04
Message #1


BIDOUILLE Guru
*****

Groupe : Admin
Messages : 49 899
Inscrit : 14 Jan 2001
Lieu : Paris
Membre no 3



Vous avez tous constaté que régulièrement, parfois sans raisons particulières, votre iPhone vous réclame votre mot de passe iCloud.
Un chercheur a exploité cela pour réaliser une preuve de concept permettant de dérober ce mot de passe.

A gauche vous voyez une demande légitime d'iOS, et à droite, un pop-up généré par une application. Ils sont identiques et pourraient largement induire en erreur n'importe qui.

En attendant qu'Apple travaille à cela, le seul moyen de savoir si la demande est réelle est de presser le bouton home. Si le Pop-Up est attaché à l'application il disparaîtra pour revenir quand vous la relancez. S'il reste, il est généré par le système.

Lien vers le billet original



--------------------
C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
Go to the top of the page
 
+Quote Post
Bob24
posté 11 Oct 2017, 07:56
Message #2


Adepte de Macbidouille
*

Groupe : Membres
Messages : 70
Inscrit : 30 Jan 2007
Membre no 79 486



Citation (Lionel @ 11 Oct 2017, 06:04) *
En attendant qu'Apple travailler à cela, le seul moyen de savoir si la demande est réelle est de presser le bouton home. Si le Pop-Up est attaché à l'application il disparaîtra pour revenir quand vous la relancez. S'il reste, il est généré par le système.


Si c’est le seul moyen, Apple a trois semaines pour proposer une autre solution avant la sortie de l’iPhone X.
Go to the top of the page
 
+Quote Post
yponomeute
posté 11 Oct 2017, 07:59
Message #3


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 4 171
Inscrit : 26 Jan 2011
Lieu : Pollachius virens
Membre no 164 083



Je ne vois pas comment on peut empêcher une application d'ouvrir un pop-up, ça fait partie des fonctions de bases d'une application que de pouvoir demander la saisie de données.


--------------------
Pourquoi "abréviation" est-il un mot si long ?
Pierre Légaré
Go to the top of the page
 
+Quote Post
loucheux
posté 11 Oct 2017, 08:00
Message #4


Macbidouilleur de bronze !
**

Groupe : Membres
Messages : 455
Inscrit : 23 Jul 2003
Membre no 8 733



Apple donne le mail d'identification de son compte apple ou c'est juste une info récupérée sur des bases de big data / retargeting ?


--------------------
Membre du club des AIPBP (Anciens Inscrits Pas Beaucoup de Posts) Voir la liste
Go to the top of the page
 
+Quote Post
downanotch
posté 11 Oct 2017, 08:21
Message #5


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 1 354
Inscrit : 11 Apr 2012
Membre no 175 864



Citation (yponomeute @ 11 Oct 2017, 08:59) *
Je ne vois pas comment on peut empêcher une application d'ouvrir un pop-up, ça fait partie des fonctions de bases d'une application que de pouvoir demander la saisie de données.

Le problème est que iOS affiche aussi parfois (il me semble toutefois que c'est de plus en plus rare) d'où la possible confusion. Il y a une solution évoquée dans l'article source : il faudrait que la demande légitime ne se fasse que via une notification qui ouvre l'application Préférences.

Citation (loucheux @ 11 Oct 2017, 09:00) *
Apple donne le mail d'identification de son compte apple ou c'est juste une info récupérée sur des bases de big data / retargeting ?

Je ne crois pas que iOS communique l'Apple ID de l'utilisateur aux applications.
Go to the top of the page
 
+Quote Post
Macnford
posté 11 Oct 2017, 09:01
Message #6


Macbidouilleur Aux Jantes Alu
*****

Groupe : Membres
Messages : 2 529
Inscrit : 10 Feb 2003
Membre no 6 100



Je vais partager cette news à madame qui a un iPhone, même si elle ne m'a pas parlé de tels popups.

En revanche, elle est souvent ennuyée en surfant par des pubs clignotantes de type "VOUS AVEZ GAGNÈ UN IPHONE" en plein écran et impossibles à fermer...
Go to the top of the page
 
+Quote Post
uhflirug
posté 11 Oct 2017, 09:37
Message #7


Nouveau Membre


Groupe : Membres
Messages : 13
Inscrit : 10 Oct 2016
Membre no 199 964



J’ai deja mentionné ce bug ici dans les forums des popup apple qui s ouvrent au dessus d’autres applications avec un retard, et signalé a apple en meme temps. Tout le monde s’en fiche. Le probleme c’est que tout avance trop vite les gens n’ont pas le temps de se preoccuper de ce genre de choses tant que ca ne fait pas la une des news. Et encore meme le col des donnes de yahoo, ou les photos de star d’icloud .. tout le monde a oublié 1 semaine apres.

Idem avec les enceintes qui ecoutent tout le temps. C’est de l’hypocrisie pure. Que le son soit retransmis en permanance ou pas, peu importe a la limite au final. Accepter une enceinte micro intelligent ca implique d’accepter que ca enregistre en permanance. Ethiquement il n’y a pas de difference car il y a les bugs mais pas seulement il y a les meta donnes qui vehiculent les meme infos que celles quele public aurait ete choqué de savoir transmettre si ca ecoutait en permanance.
Go to the top of the page
 
+Quote Post
Paolo
posté 11 Oct 2017, 10:03
Message #8


Adepte de Macbidouille
*

Groupe : Membres
Messages : 103
Inscrit : 13 Jun 2003
Lieu : Paris
Membre no 8 038



Citation (Lionel @ 11 Oct 2017, 07:04) *
En attendant qu'Apple travailler à cela, le seul moyen de savoir si la demande est réelle est de presser le bouton home. Si le Pop-Up est attaché à l'application il disparaîtra pour revenir quand vous la relancez. S'il reste, il est généré par le système.


Lionel, merci pour ce moyen simple pour éviter de se faire piéger.


--------------------
Go to the top of the page
 
+Quote Post
SartMatt
posté 11 Oct 2017, 10:18
Message #9


Macbidouilleur d'Or !
*****

Groupe : Rédacteurs
Messages : 28 669
Inscrit : 15 Nov 2005
Lieu : Au pied des montagnes
Membre no 49 996



Citation (yponomeute @ 11 Oct 2017, 08:59) *
Je ne vois pas comment on peut empêcher une application d'ouvrir un pop-up, ça fait partie des fonctions de bases d'une application que de pouvoir demander la saisie de données.
Éventuellement, il pourrait y avoir un système détectant les popup imitant le popup "officiel", mais techniquement ça serait pas simple à mettre en place (faudrait quasiment aller se brancher sur le framebuffer du GPU, parce que ce popup pourrait être créé sous forme d'image plutôt qu'en faisant un rendu de texte.

L'autre solution, c'est de rendre le popup officiel inimitable, en effectuant un rendu particulier que les autres applications n'auraient pas la possibilité de reproduire. Par exemple, on pourrait imaginer que tout l'affichage (y compris la barre de status/notifications) glisse vers le bas pour dévoiler la fenêtre de saisie du mot de passe iTunes.

Ou alors, que le mot de passe iTunes ne soit tout simplement jamais demandé avec un popup. Au lieu de faire un popup de saisie du mot de passe, il faudrait faire un popup indiquant "Ouvrez l'application App Store et saisissez votre mot de passe.".


--------------------
"S'il n'y a pas de solution, c'est qu'il n'y a pas de problème." - Proverbe Shadok
Go to the top of the page
 
+Quote Post
RaelRael
posté 11 Oct 2017, 12:45
Message #10


Macbidouilleur de bronze !
**

Groupe : Membres
Messages : 266
Inscrit : 5 Sep 2005
Membre no 45 180



et pour les achats integrés aux applis?
Go to the top of the page
 
+Quote Post
Suricate15
posté 11 Oct 2017, 18:19
Message #11


Macbidouilleur de bronze !
**

Groupe : Membres
Messages : 260
Inscrit : 16 Dec 2013
Membre no 188 324



Il me semble bien que dans MacOS lorsque icloud demande le mot de passe, en fait plutôt souvent, l'ID de l'utilisateur est affiché en estompé dans le champ de gauche. Pour 1password et synchro par icloud, il faut rentrer les deux.

Si c'est une appli ios qui lance ce pop-up il devrait être, en principe, pas trop compliqué de savoir laquelle ? Un doucle clic sur le bouton d'accueil montrera celles qui sont ouvertes (accessibles par l'utilisateur). Ca limite le champ d'action déjà. A moins qu'elle lance une requête sans être ouverte et vue par l'utilisateur. Si c'est un code caché là on sera mal évidemment. Reste encore la solution qui consiste à faire le ménage dans ses applis et utiliser la méthode de Lionel avant, celles qui sont douteuses en tout cas.

NB : à moins d'avoir un ID et mot de passe fournis par des applis genre "revues, journaux etc.." en dehors de l'offre iTunes, les développeurs ne connaissent pas les ID des utilisateurs de leurs applis, à moins de se connecter quelque part chez eux pour une raison quelconque et jamais innocente. Prenez un abo à "Photo Réponses" via iTunes par ex., la revue vous offrira un mois d'abo en plus si vous leur communiquez votre adresse email. Sinon, ils le l'auront pas, vous resterez inconnu(e).

Une appli du genre "Little snitch" ou "Hands Off" sous ios serait la bienvenue..? Pour ma part je n'en connais pas.


--------------------
« La perfection des moyens et la confusion des buts semblent caractériser notre époque. » A. Einstein.
Go to the top of the page
 
+Quote Post
iAPX
posté 14 Oct 2017, 02:39
Message #12


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 7 033
Inscrit : 4 Jan 2006
Lieu : Montréal
Membre no 52 877



Fondamentalement, c'est le fait d'autoriser une application à prendre le contrôle complet de l'écran et 'afficher ce qu'elle y veut, y-compris une demande de mot-de-passe similaire à celle du système, qui est le problème dans ce cas, et il n'y a rien à y faire.


--------------------
Un Mac obsolète, un iPhone qui suit la même voie.
Portraitiste et amateur de garde-temps, avec un coté Dorian Gray.
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



Nous sommes le : 24th October 2017 - 06:48