Lorsque vous êtes sur iPhone, l'App Store vous demande souvent le mot de passe de votre compte. Que ce soit par mesure de sécurité pour valider un achat, télécharger une application ou simplement vérifier que vous êtes bien là, taper son mot de passe iTunes peut s'apparenter à la routine. Attention toutefois, une méthode de phishing particulièrement vicieuse vient de faire son apparition.

Du phishing discret, très discret.

Son créateur, Félix Krause, ne l'a pas conçu pour causer du tort aux utilisateurs d'iOS, mais plutôt pour les avertir. Le développeur vient de prouver qu'avec un peu de travail, il était possible de recréer la boite de dialogue vous demandant votre mot de passe, dès l'ouverture d'une application. Ainsi, l'utilisateur inattentif le rentre, et le divulgue sans effort. Un bon moyen de récolter des mots de passe sans forcer et ce, avec seulement 30 lignes de code.

"J'ai décidé de ne pas rendre public le code du pop-up. Tous les ingénieurs iOS peuvent créer leur propre code de phishing avec moins de 30 lignes de code."

Même si le code n'est pas donné explicitement, l'idée est là et selon Krause, l'application semble relativement aisée. Pas d'inquiétude, se protéger est facile, mais demande un minimum d'attention et de rigueur. Il suffit :

Appuyer sur le bouton Home et voir si l'application s'arrête :

- Si l'application et la boite de dialogue se ferment, c'est du phishing.

- Si l'application et la boite de dialogue sont toujours visibles, c'est normal. Le système lié aux dialogues fonctionne via un processus différent de l'application.

N'entrez pas vos codes confidentiels dans une pop-up. À la place, annulez-le et ouvrez les réglages manuellement. Ce mécanisme sécurise l'action et ne vous expose pas aux tentatives de phishing.
Si vous appuyez sur le bouton "annuler", l'application aura toujours accès au contenu présent dans le champ  lié au mot de passe. Même si vous n'avez entré que les premiers caractères, il sera certainement déjà trop tard.

Apple a beau filtrer du mieux qu'il peut pour surveiller les applications tentant de faire leur apparition sur sa plate-forme de téléchargement, il est fort possible que les modifications dans les lignes de code soient réalisables après validation. Plusieurs astuces sont livrées par Krause comme des outils de publication après validation ou une introduction des lignes de code après l'approbation par Apple. Quoiqu'il en soit, espérons juste que Félix Krause ne vient pas de donner de mauvaises idées à des milliers de développeurs avides de mots de passe.