Apple a publié une nouvelle mise à jour de sécurité pour iOS 18.0.1 et iPadOS 18.0.1 portant sur la manière dont les fonctions d'accessibilité traitent les mots de passe stockés, suite à des spéculations selon lesquelles des détails auraient pu être accidentellement divulgués.
L'entreprise partage rarement des détails sur les mises à jour de sécurité qu'elle publie, et cette fois-ci ne fait pas exception - il y a donc beaucoup de choses sur la vulnérabilité et le correctif que nous ne connaissons pas.
Cependant, on pense que le problème pourrait révéler les mots de passe enregistrés d'un utilisateur d'une manière un peu embarrassante - en les lisant à haute voix.
VoiceOver et Passwords
En entrant dans le domaine de la spéculation, il y a deux choses à garder à l'esprit. Apple dispose d'une fonction d'accessibilité appelée VoiceOver. Il s'agit d'un lecteur d'écran, intégré dans différents produits Apple (macOS, tvOS, etc.), que les utilisateurs peuvent faire apparaître pour « parler » à l'appareil et se faire répondre en retour. L'autre élément important ici est qu'avec iOS 18 et iPadOS 18, l'entreprise a introduit un gestionnaire de mots de passe natif , qu'elle a nommé l'application Passwords.
Par conséquent, le bug pourrait se trouver dans l'une ou l'autre de ces deux applications, mais comme Apple n'a pas partagé les détails, il est impossible de le savoir.
Voici cependant ce que nous savons : La vulnérabilité est répertoriée sous le nom de CVE-2024-44204 et, à l'heure où nous mettons sous presse, elle n'avait pas encore été classée par ordre de gravité. Elle est décrite comme un « problème de logique » qui a été corrigé avec une validation améliorée. Elle affecte les appareils suivants :
iPhone XS et versions ultérieures
iPad Pro 13 pouces
iPad Pro 12.9 pouces troisième génération et versions ultérieures
iPad Pro 11 pouces première génération et versions ultérieures
iPad Air troisième génération et versions ultérieures
iPad septième génération et versions ultérieures
iPad mini cinquième génération et versions ultérieures
La communauté de la sécurité considère depuis longtemps que les mots de passe sont un moyen extrêmement faible de protéger les objets numériques de valeur, principalement parce que les utilisateurs ont tendance à conserver ceux fournis avec les paramètres d'usine ou à créer des mots de passe faibles qui sont facilement craqués. Ils conseillent plutôt de mettre en place des phrases de passe, la biométrie ou l'authentification multifactorielle (MFA).
Via The Register
Plus sur TechRadar Pro
