.webp)
Mots de Passe sous iOS 18 avait une faille de sécurité jusqu'à iOS 18.2
iOS 18 a introduit la nouvelle App Mots de passe, destinée à stocker mots-de-passe, passkeys, codes de vérification (TOTP) , etc. Je ne l'ai jamais utilisée, Apple n'est pas une société de sécurité.Cette App Mot-de-passe avait une faille jusqu'à la mise-à-jours iOS 18.2, soit pendant quelques mois: il émettait des requêtes http en clair pour récupérer les favicons et autres logos de sites enregistrés.Apparemment cela aurait permis à un acteur au sein d'un de réseaux de détourner le traffic vers un site de phishing sans TLS (http et non https), afin de récupérer les informations du compte dont le mot-de-passe.Des chercheurs avaient signalé le problème dès septembre 2024, il a fallu près de 2 mois pour que cela soit résolu avec la MàJ iOS 18.2. Apple n'est pas une société de sécurité.Mots de passe sous macOS pourrait avoir été touché par le même problème, avec la même résolution. Je ne l'ai jamais utilisée sous macOS.Évidemment une App de stockage de mots-de-passe qui est utilisée sur un site en https et qui accepte de remplir les champs sur le même domaine en http (sans chiffrement ni authentification du site) est en soi une faille de sécurité. Apple n'est pas une société de sécurité.Je n'utilise pas l'App Mots de Passe pour y stocker des mots-de-passe, encore moins les échanger entre mes appareils avec un passage intermédiaire par le cloud d'Apple en promettant monts-et-merveilles en terme de sécurité. Apple n'est pas une société de sécurité, à chacun son métier.Qui confierait ses mots-de-passe à Apple?!?
iOS 18 a introduit la nouvelle App Mots de passe, destinée à stocker mots-de-passe, passkeys, codes de vérification (TOTP) , etc. Je ne l'ai jamais utilisée, Apple n'est pas une société de sécurité.
Cette App Mot-de-passe avait une faille jusqu'à la mise-à-jours iOS 18.2, soit pendant quelques mois: il émettait des requêtes http en clair pour récupérer les favicons et autres logos de sites enregistrés.
Apparemment cela aurait permis à un acteur au sein d'un de réseaux de détourner le traffic vers un site de phishing sans TLS (http et non https), afin de récupérer les informations du compte dont le mot-de-passe.
Des chercheurs avaient signalé le problème dès septembre 2024, il a fallu près de 2 mois pour que cela soit résolu avec la MàJ iOS 18.2. Apple n'est pas une société de sécurité.
Mots de passe sous macOS pourrait avoir été touché par le même problème, avec la même résolution. Je ne l'ai jamais utilisée sous macOS.
Évidemment une App de stockage de mots-de-passe qui est utilisée sur un site en https et qui accepte de remplir les champs sur le même domaine en http (sans chiffrement ni authentification du site) est en soi une faille de sécurité. Apple n'est pas une société de sécurité.
Je n'utilise pas l'App Mots de Passe pour y stocker des mots-de-passe, encore moins les échanger entre mes appareils avec un passage intermédiaire par le cloud d'Apple en promettant monts-et-merveilles en terme de sécurité. Apple n'est pas une société de sécurité, à chacun son métier.
Qui confierait ses mots-de-passe à Apple?!?
