Depuis la version 8.3 d'iOS, le code HTML dans les courriels n'est plus contrôlé en profondeur par l'appli Mail d'Apple, préviennent des spécialistes de la sécurité.

Il est alors possible pour des pirates de subtiliser les données de connexion à iCloud d'utilisateurs. Dans une pièce jointe d'un courriel, ils peuvent en effet placer un écran de login factice à iCloud, qui semble tout à fait identique au véritable écran de login du service 'cloud'. Quiconque saisit ses données dans cet écran factice, les transmet à l'expéditeur mal intentionné du courriel.

Cette tentative de collecter des données de login, est d'autant plus dangereuse qu'il n'est pas inhabituel dans iOS d'être confronté à des moments inattendus à des écrans de login.

Il existe bien une façon de savoir si ce genre de fenêtre émergente iCloud est légitime ou non: il suffit de presser le bouton home, lorsqu'elle se manifeste. Si l'écran initial apparaît, il est bien question d'une fenêtre mal intentionnée. Les écrans de login légitimes n'autorisent en effet pas d'autres actions, avant d'être complétés (ou annulés).

Le bug avait été mentionné à Apple en janvier déjà, mais l'entreprise n'a jusqu'à présent encore rien entrepris là contre. C'est pourquoi ceux qui l'on découvert, rendent à présent le problème public. L'année dernière, il y avait déjà eu un piratage iCloud à grande échelle (appelé 'Fappening'), par lequel des photos dénudées de personnalités avaient été subtilisées.

(Automatiseringgids / MI)