Sécurité

Apple introduit une nouvelle icône de confidentialité

@journalduhack
@journalduhack

Estimant que la confidentialité est un droit humain fondamental, Apple fait partie des entreprises technologiques qui conçoivent leurs produits en essayant de veiller au respect de la vie privée des utilisateurs, notamment en s’assurant que toutes les informations personnelles que vous voulez garder confidentielles soient protégées des regards indiscrets.

C’est dans cette vision qu’iOS 11 par exemple, publié en septembre dernier, a donné la possibilité aux utilisateurs de choisir ce qu’ils veulent partager et avec qui. Avec la prochaine mise à jour iOS 11.3 dont la première bêta a été publiée mercredi, Apple poursuit ses efforts en ajoutant une nouvelle icône de confidentialité qui s’affichera lorsqu’une application ou une fonctionnalité vous demandera vos informations personnelles. Précisons que la nouvelle icône apparaît uniquement lorsque les propres applications d’Apple ont besoin de vos informations personnelles.

Apple avait déjà mis en place de nombreuses mesures de protection de la confidentialité et de transparence sur ses deux principaux systèmes d’exploitation pour alerter les utilisateurs lorsque des applications demandent leur emplacement entre autres informations personnelles. Mais la nouvelle icône semble avoir un but précis, celui d’empêcher les attaques de phishing.

En octobre, un développeur du nom de Felix Krause a en effet montré à quel point il serait facile pour un développeur de voler les mots de passe Apple ID des utilisateurs iOS : en le leur demandant tout simplement. « Voulez-vous le mot de passe Apple ID de l’utilisateur, pour accéder à son compte Apple ou pour essayer la même combinaison d’email/mot de passe sur différents services Web ? Il suffit de demander poliment à vos utilisateurs, ils vont probablement vous remettre leurs informations d’identification, car ils sont formés pour le faire », disait-il.

Le fait est qu’iOS demande à l’utilisateur son mot de passe pour plusieurs raisons, y compris pour les mises à jour du système d’exploitation iOS récemment installées. En plus, les popups ne sont pas seulement affichés sur l’écran de verrouillage ou l’écran d’accueil, mais aussi dans bien d’applications, par exemple quand ils veulent accéder à iCloud ou GameCenter, entre autres. Par conséquent, les utilisateurs sont formés à entrer leur mot de passe Apple ID chaque fois qu’iOS le leur demande. D’après Felix Krause, n’importe quelle application pourrait facilement abuser de cela, juste en montrant un UIAlertController, qui ressemble exactement à la boîte de dialogue du système. Et même les utilisateurs amateurs de la technologie auront du mal à détecter que ces alertes sont des attaques de phishing.

Comme preuve de concept, il a pu facilement reproduire la boîte de dialogue du système iOS de sorte qu’il soit impossible à l’œil nu de savoir qu’il s’agit d’un popup de phishing.

 

 

Les navigateurs web modernes font déjà un excellent travail pour protéger les utilisateurs contre les attaques de phishing. Mais dans les applications mobiles, le phishing est un concept plutôt nouveau, et donc encore assez inexploré. Felix Krause a donc pour sa part fait quelques propositions pour corriger ce défaut dans iOS. Il a par exemple suggéré que lorsqu’iOS demande l’Apple ID à l’utilisateur, au lieu de demander le mot de passe directement, il fallait plutôt lui demander d’ouvrir l’application des paramètres. Il a aussi suggéré comme alternative de corriger la racine du problème, c’est-à-dire que les utilisateurs ne devraient pas constamment être invités à fournir leurs informations d’identification. Sinon, il pense que les risques de phishing pourraient aussi être réduits si les boîtes de dialogue des applications s’affichent avec l’icône de l’application pour indiquer que c’est cette application qui demande les informations d’identification, et non le système.

Apple a donc probablement tenu compte de cette alerte et des suggestions faites par le développeur et a décidé de proposer la nouvelle icône de confidentialité qui contourne le problème en apparaissant au niveau du système quand c’est vraiment Apple qui vous demande d’entrer un mot de passe ou quelque chose d’autre. Ainsi, si une fenêtre vous demande des informations personnelles et que vous ne voyez pas l’icône, cela devrait vous amener à faire une pause avant de fournir vos informations. Apple précise toutefois que « vous ne verrez pas cette icône avec toutes les fonctionnalités, car Apple ne collecte ces informations que lorsque cela est nécessaire pour activer les fonctionnalités, sécuriser [ses] services ou personnaliser votre expérience ».

 

 

La nouvelle fonctionnalité de confidentialité semble ne pas se limiter à iOS. Un utilisateur de Twitter a en effet fait remarquer qu’elle est également disponible pour les utilisateurs Mac avec la mise à jour macOS High Sierra 10.13.4.

 

 

 

Pensez-vous qu’elle suffira pour résoudre le problème mis en avant par Felix Krause ?

You Might Also Like

Apple contre-attaque après les révélations de Google sur les piratages d’iPhone

Zoom propose enfin le chiffrement de bout en bout

Google déconnecte les caméras Xiaomi de ses Nest Hub, elles violaient votre vie privée

Avast écope d’une lourde amende, l’antivirus a vendu vos données de navigation

Spectre : Microsoft publie des mises à jour de microcodes pour SkyLake

Share This Article
Previous Article Le gouvernement américain déclare qu’il n’a pas besoin de la justice pour exiger l’affaiblissement du chiffrement
Next Article [PHP] Prédire à l’avance les nombres aléatoires !
Leave a Comment

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.