Comment identifier une fausse invite de connexion Apple
À l'aube d'Internet, les tentatives de fraude par hameçonnage étaient monnaie courante. L'Internet étant une nouveauté à l'époque, peu de gens les connaissaient et en furent les victimes. La situation a changé depuis, mais les escrocs ont également évolué avec le temps. Le principe reste le même : se faire passer pour une entité officielle afin de tromper l'utilisateur imprudent. La différence réside dans les méthodes et les lieux qu'ils utilisent pour vous piéger. Prenons l'exemple des arnaques de phishing Google Docs et VPN Plex Media qui ont sévi plus tôt cette année. Récemment, les appareils iOS sont devenus des cibles potentielles pour ce type d'escroquerie. Une application malveillante pourrait envoyer aux utilisateurs de faux écrans de connexion Apple, difficiles à distinguer des écrans authentiques. Si vous y saisissez votre mot de passe, vous êtes une victime de hameçonnage.
Ce problème a été mis en lumière par le chercheur en sécurité Felix Krause, qui a également proposé une méthode simple pour vérifier l'authenticité d'une demande de connexion Apple.
Comment identifier une fausse invite de connexion Apple
Lorsqu'Apple vous demande votre mot de passe, vous n'avez que deux options : le saisir ou cliquer sur "Annuler". Si vous doutez de la légitimité d'une demande de mot de passe, appuyez sur le bouton "Accueil" de votre appareil. Une fausse demande de connexion disparaîtra immédiatement. Si la demande est authentique, elle restera affichée à l'écran.
Le rôle d'Apple dans la protection des utilisateurs
Krause souligne l'efficacité d'Apple dans le contrôle des applications soumises à l'App Store. Il y a quelques années, le délai d'approbation d'une application était assez long, et Apple a longtemps refusé de le raccourcir afin de ne pas compromettre la qualité des vérifications. L'entreprise a finalement réduit ce délai, mais seulement après s'être assurée de pouvoir continuer à contrôler efficacement les applications dans un temps plus court. Apple réussit généralement à empêcher les applications malveillantes d'accéder à l'App Store. Cela dit, Krause a identifié des améliorations possibles qu'Apple pourrait mettre en œuvre pour mieux protéger les utilisateurs contre ce type de fraude. Vous pouvez consulter sa liste complète sur son blog personnel, où il explique en détail comment ce type d'escroquerie peut passer inaperçu.
Personnellement, je trouve que la suggestion de Krause d'obliger les développeurs Apple à ajouter une icône d'application à toute demande de saisie de mot de passe est très pertinente. C'est une mesure simple à mettre en œuvre, et un indicateur visuel est toujours bénéfique dans ce genre de situation.
À notre connaissance, il n'existe actuellement aucune application sur l'App Store qui tente de piéger les utilisateurs de cette manière. Cependant, si cela se produisait, il serait difficile pour un utilisateur lambda de s'en rendre compte à première vue. L'alerte de Krause est donc importante pour prévenir de tels risques.