Apple a discrètement corrigé une faille avec iOS 18.2 : voici ce que vous devez savoir
La firme à la pomme a pris son temps.
Trois mois se sont écoulés entre la découverte d’une faille de sécurité dans l’application Mots de passe d’iOS 18 et sa correction. Cette vulnérabilité, bien que nécessitant des conditions spécifiques pour être exploitée, aurait pu permettre l’interception de données sensibles par des acteurs malveillants dans certains environnements réseau.
HTTP : le mauvais choix
Lors du lancement d’iOS 18 en septembre 2024, Apple présentait toutes les grandes nouveautés ainsi que sa nouvelle application Mots de passe, décrite comme un coffre-fort imprenable pour vos identifiants. Toutefois, il y avait un hic ; une incohérence technique. Alors que l’application était conçue pour protéger vos données confidentielles, elle fonctionnait partiellement sur le protocole HTTP, dépourvu de chiffrement, plutôt que sur HTTPS. Certaines informations n’étaient donc pas protégées par un chiffrement lors de leur transfert.
Cette anomalie, repérée par les chercheurs de Mysk, créait une brèche potentielle. Concrètement, un individu malintentionné partageant le même réseau Wi-Fi pouvait théoriquement capturer les communications lors de l’ouverture d’un lien depuis l’application, puis substituer une page de connexion falsifiée pour récupérer vos identifiants.
Informé dès septembre, Apple a attendu décembre et la sortie d’iOS 18.2 pour colmater cette faille. L’entreprise a même gardé le silence sur cet incident jusqu’au 17 mars 2025, date à laquelle le média 9to5Mac a révélé l’affaire ; probablement pour attendre qu’un nombre suffisant d’utilisateurs ait effectué la mise à jour.
Une vulnérabilité limitée
Bien heureusement, l’exploitation de cette faille nécessitait un alignement précis de circonstances, ce qui rendait sa réalisation en pratique relativement rare. Pour ce faire, il aurait fallu que l’utilisateur devait se connecter via un réseau Wi-Fi compromis (comme dans un café ou un aéroport), ouvrir l’application Mots de passe, sélectionner un mot de passe puis cliquer sur un lien dans l’application pour être redirigé vers une page de connexion. Parallèlement, l’attaquant devait activement surveiller et intercepter ce trafic pour le leurrer avec une page de connexion contrefaite
La fonction d’auto-remplissage des mots de passe n’était pas affectée et en utilisation normale, le comportement par défaut des serveurs web aurait normalement déclenché une redirection automatique des requêtes HTTP vers HTTPS, limitant théoriquement l’exposition. Selon les experts, la probabilité que cette vulnérabilité ait été exploitée à grande échelle reste donc extrêmement faible.
Si vous êtes inquiets, la solution la plus simple reste de mettre à jour tous vos appareils vers iOS 18.3.2. Si vous n’avez jamais utilisé les liens dans l’application Mots de passe pour vous connecter à des sites, vous n’avez aucune raison de vous alarmer. Par mesure de précaution supplémentaire, vous pouvez toujours modifier vos mots de passe les plus sensibles : banques, messageries, etc. Mais encore une fois, les chances que ceux-ci se baladent dans la nature sont très faibles.
- Une faille de sécurité dans l’application Mots de passe d’iOS 18 a été découverte et corrigée après trois mois.
- L’exploitation de cette vulnérabilité était très limitée en pratique.
- Mettre à jour son iPhone vers la dernière version d’iOS est suffisant pour éliminer tout risque.
