Un clavier malveillant enregistre tout ce que la victime tape sur son iPhone
Découvrez comment vous en prémunir.
Afin de promouvoir leurs services et de montrer leurs compétences, les différents acteurs de la sécurité en ligne recherchent souvent des failles ou des attaques qui peuvent compromettre la sécurité des utilisateurs en ligne. Ils vont ensuite divulguer leur contenu publiquement, puis montrer comment s’en prémunir.
Les failles de sécurité ou les attaques par des cybercriminels sont monnaie courante dorénavant, et le phénomène ne semble pas faiblir avec le temps, bien au contraire. Obligeant ainsi Apple à continuellement redoubler d’efforts et de vigilance afin de ne pas exposer ses utilisateurs à de potentiels risques, ce qu’elle paraît réussir avec brio.
Il arrive cependant que certains pirates passent entre les mailles du filet. Avec lequel Apple évolue. Alors qu’on apprenait hier que des gouvernements démocratiques alliés des États-Unis espionnent les iPhone de leurs habitants, un nouveau rapport publié par Certo Software nous apprend aujourd’hui que des cybercriminels auraient trouvé un moyen de pirater un iPhone, et ce grâce à des claviers personnalisés. Certo Software propose d’ailleurs une application iPhone pour protéger ses données.
Une « nouvelle méthode de piratage troublante »
Afin de pouvoir pénétrer un iPhone, le pirate doit habituellement soit accéder à son compte iCloud, notamment en utilisant des techniques de phishing, soit en utilisant la technique du Jailbreak. Mais la nouvelle attaque que dévoile Certo Software n’a besoin d’aucun de ces prérequis et pourrait toucher n’importe quel modèle d’iPhone.
Pour y arriver, les pirates exploitent une faille présente sur iOS et qui ne « nécessite aucune compétence technique poussée ». Une fois l’attaque mise en place, les pirates peuvent récolter absolument tout ce que la victime tape sur son iPhone. Cela comprend les mots de passe, numéro de carte bancaire, ou toute autre information sensible susceptible d’être tapée par le propriétaire.
Comment ça marche
Tout simplement, il suffit que la victime installe une application contenant un clavier personnalisé pour que les pirates puissent immédiatement avoir accès à ce qu’elle tape. Certo Software rapporte que « en théorie, un clavier personnalisé malveillant pourrait être distribué via n’importe quelle application. Cela signifie qu’une application apparemment inoffensive peut servir de support pour introduire un enregistreur de frappe. »
Comment savoir si vous êtes touché
Rendez-vous dans Paramètres > Général > Clavier > Claviers. Une fois sur la page cible, observez vos claviers. Il devrait normalement y avoir deux claviers standard, un français, et un « Emoji ». Si vous voyez un autre clavier, et que ce n’est pas vous qui l’avez installé, regardez rapidement si l’accès complet à votre téléphone lui est autorisé. Si c’est le cas et que vous n’êtes pas à l’origine de la manœuvre, alors vous êtes peut-être touché, enlevez lui l’autorisation et supprimez le au plus vite! Dans le cas contraire, il n’y a pas d’inquiétude à avoir.
ScSyc
10 décembre 2023 à 23 h 05 min
Bonjour Sami, votre conseil est un très bon point de départ. Mais pas suffisant malheureusement. Un clavier tiers installé volontairement par l’utilisateur pourrait enregistrer ses frappes à son insu si celui-ci est malveillant. Pour éviter complètement ce risque de fuite, mieux vaut ne compter que sur les claviers proposés par défaut dans iOS.
Sami Trabcha
15 décembre 2023 à 19 h 52 min
Bonjour SCSYC, merci pour votre commentaire pertinent !
Bien à vous