Passer au contenu

Apple : comment Siri peut faciliter les attaques par phishing sur iPhone

L’assistant personnel d’Apple tente d’associer des personnes à des numéros de téléphone, ce qui peut lui jouer des tours si un hacker détourne cette fonction.

Si vous recevez sur votre iPhone un appel ou un message texte d’une personne, vous êtes peut-être victime d’une tentative d’hameçonnage avec l’aide de Siri. En effet, l’assistant personnel d’Apple tente de deviner le nom associé à un numéro de téléphone s’il n’est pas présent dans le carnet d’adresses. Cette fonction disponible depuis 2015 est certes pratique mais peut être détournée par des hackers, comme l’a démontré la société Wandera, spécialisée dans les solutions de sécurité.

La société a ainsi pu envoyer un message instantané iMessage au journaliste Robert Hackett en se faisant passer pour Alan Murray, le président du magazine Fortune. Le message comporte un lien vers un faux site Office 365 de Microsoft.

A première vue, le message semble officiel, mais il faut faire attention à la mention Maybe: (Peut être:) présente devant le nom de l’expéditeur. Car cette mention indique que Siri a tenté de déterminer qui était l’expéditeur. Pour piéger Robert Hackett (avec son consentement), les chercheurs de Wandera ont envoyé un iMessage avec un faux numéro de téléphone, mais comportant comme première phrase « It’s Alan Murray » (c’est Alan Murray). Siri considère alors qu’il s’agit peut-être du nom de l’expéditeur.

Gare à l’usurpation d’identité

La technique fonctionne également avec les courriers électroniques. Un hacker pourrait envoyer un mail avec une faux nom d’expéditeur (spoofing), par exemple « ACME Finances » et un faux numéro de téléphone dans le message. Si la victime répond au mail, par exemple via un message d’absence de bureau, alors Siri associe automatiquement le faux numéro de téléphone au faux nom. Il ne reste plus au hacker à envoyer un message ou à téléphoner avec le faux numéro de téléphone pour qu’il apparaisse sur l’écran de l’iPhone en tant que, dans notre exemple, « Peut être : ACME Finances ». Toutefois, il semble que le procédé ne fonctionne pas avec des noms génériques tels que « Bank » et « Credit Union ». En revanche, les hackers peuvent utiliser sans problème des noms plus spécifiques, par exemple Crédit Mutuel ou BNP Paribas.

La société Wandera a contacté Apple le 25 avril au sujet de ce problème, mais le constructeur a répondu qu’il ne le considérait pas comme une « vulnérabilité de sécurité ». Apple n’a pas indiqué quand ce problème serait corrigé.

Source : Fortune

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


François BEDIN