Apple corrige une vulnérabilité de son application Mots de passe permettant des attaques Wi-Fi

Publié le 18 mai 2026 à 21h36 par   · Durée de lecture : environ 10 minutes
Apple corrige une vulnérabilité de son application Mots de passe permettant des attaques Wi-Fi

Ce qui s’est passé entre septembre et décembre 2024 #

Introduite avec iOS 18 en septembre 2024, l’application Mots de passe devait centraliser identifiants, codes Wi-Fi et clés de passe dans un espace chiffré, à la manière d’un 1Password maison. Sur le papier, l’intention était saine. En pratique, les chercheurs du collectif Mysk ont remarqué un détail technique préoccupant : pour afficher les logos des sites correspondant à chaque mot de passe, l’app récupérait ces images en HTTP non chiffré, et non en HTTPS.

Sur un réseau Wi-Fi maîtrisé — domicile, bureau, 4G personnelle — l’impact reste théorique. Mais sur un hotspot d’aéroport, de gare ou de café, n’importe quel attaquant connecté au même réseau pouvait intercepter ces requêtes, observer quels sites étaient visités, et surtout détourner le trafic vers une fausse page de connexion parfaitement imitée. La faille a vécu environ trois mois avant d’être colmatée par iOS 18.2 en décembre 2024.

La vulnérabilité de l’application Mots de passe d’Apple #

L’application « Mots de passe » d’Apple, introduite avec iOS 18 en septembre 2024, devait offrir une solution sécurisée pour la gestion des identifiants. Cependant, des chercheurs en sécurité de chez Mysk ont découvert que l’application utilisait des connexions HTTP non cryptées pour récupérer les logos et icônes associés aux mots de passe stockés. Ce choix technique a rendu possible les attaques Wi-Fi man-in-the-middle, exposant ainsi les données des utilisateurs à des interceptions malveillantes.

Détails de la faille

La vulnérabilité reposait sur le fait que l’application ne chiffrait pas les communications réseau, contrairement aux standards HTTPS. Cette omission permettait à un attaquant sur le même réseau local de rediriger les requêtes vers des sites de phishing parfaitement imitatifs. Par exemple, en créant une fausse page de connexion similaire à celle de Yelp, les cybercriminels pouvaient tromper les utilisateurs et accéder à leurs informations sensibles sans qu’ils s’en aperçoivent.

~3 mois
faille en circulation
HTTP
au lieu de HTTPS
18.2
version corrective
Données indicatives — source publique Mysk / Apple Security Releases.

Cette faille est d’autant plus alarmante qu’elle a persisté pendant près de trois mois avant d’être corrigée. Pendant cette période, de nombreux utilisateurs ont été potentiellement exposés, augmentant ainsi le risque de vol de données personnelles et de compromission de comptes en ligne.

Chronologie de l’incident #

Étape Description Date
DécouverteLes chercheurs Mysk identifient l’app Mots de passe transmet ses requêtes en HTTP.Sept. 2024
SignalementApple est notifié et démarre le travail sur un correctif sous embargo.Sept. 2024
CorrectifiOS 18.2 force HTTPS sur toutes les requêtes de l’application.Déc. 2024
RecommandationsApple invite à mettre à jour et changer les identifiants sensibles.Déc. 2024

Impact des attaques Wi-Fi sur la sécurité des utilisateurs #

Les attaques Wi-Fi représentent une menace constante pour la sécurité des utilisateurs, surtout dans les environnements publics. Lorsqu’un utilisateur se connecte à un réseau non sécurisé, il ouvre la porte à diverses formes d’interceptions et de détournements de données. La vulnérabilité découverte dans l’application « Mots de passe » d’Apple est un exemple type de la manière dont des erreurs apparemment mineures peuvent avoir des répercussions graves.

Ce qu’un attaquant peut faire sur un Wi-Fi ouvert

01

Capture d’identifiants

Sniffing des formulaires de login servis en clair, ou via un faux portail captif imitant le hotspot officiel.
02

Redirection phishing

Détourner une requête HTTP vers une copie pixel-perfect de Yelp, iCloud ou une banque, et récolter les saisies.
03

Injection de payload

Insérer un script ou un téléchargement malveillant dans une page HTTP légitime non chiffrée pendant le transit.
04

Man-in-the-Middle

S’intercaler entre l’appareil et la passerelle pour lire ou modifier les échanges en temps réel.

Ces méthodes d’attaque sont particulièrement efficaces car elles exploitent les faiblesses des connexions sans fil publiques, rendant difficile pour l’utilisateur moyen de détecter une menace en cours.

Les mesures prises par Apple pour corriger la vulnérabilité #

Face à la découverte de cette faille, Apple n’a pas tardé à réagir pour protéger ses utilisateurs. En décembre 2024, la société a publié la mise à jour iOS 18.2, qui corrigeait la vulnérabilité en forçant l’utilisation de connexions HTTPS sécurisées pour toutes les communications de l’application « Mots de passe ». Cette mise à jour a été essentielle pour restaurer la confiance des utilisateurs et renforcer la sécurité des données personnelles.

«
En sécurité numérique, ce n’est pas la complexité de l’attaque qui fait peur — c’est la banalité de la faille qui l’a rendue possible.
— Principe Mysk Research

Mise à jour iOS 18.2

La mise à jour iOS 18.2 a introduit plusieurs améliorations cruciales : chiffrement obligatoire des communications réseau pour l’application Mots de passe, contrôles de sécurité renforcés pour prévenir de futures attaques, et alertes améliorées pour informer les utilisateurs des correctifs critiques disponibles. Apple a également recommandé de mettre à jour les appareils dès que possible et de changer les mots de passe des comptes sensibles utilisés pendant la période de vulnérabilité, afin de minimiser tout risque résiduel de compromission.

Conseils pour protéger ses données personnelles #

La récente faille dans l’application « Mots de passe » d’Apple souligne l’importance de prendre des mesures proactives pour sécuriser ses informations en ligne. Voici quelques recommandations essentielles pour renforcer la cybersécurité de vos appareils et protéger vos données personnelles.

✓ À faire

  • Installer iOS 18.2 (ou plus récent) sans délai
  • Activer la 2FA sur Apple ID, email, banque
  • Utiliser un VPN sur Wi-Fi public
  • Activer les mises à jour automatiques d’iOS

✕ À éviter

  • Se connecter à un compte sensible via un hotspot inconnu
  • Cliquer sur les liens de portails captifs douteux
  • Ignorer une alerte « connexion non privée » de Safari
  • Réutiliser le même mot de passe sur plusieurs services
@tkarrh29

Here is the proof everyone had been asking for.

♬ original sound – tkarrh29

Gestionnaires de mots de passe alternatifs

Bien que les applications intégrées comme celle d’Apple soient pratiques, certains préfèrent un gestionnaire dédié réputé tel que LastPass, 1Password ou Dashlane. Ces outils offrent des fonctionnalités de sécurité avancées — partage sécurisé, audit de robustesse, alertes de fuite — et sont régulièrement mis à jour pour combler les vulnérabilités potentielles.

Authentification à deux facteurs (2FA)

L’ajout d’une seconde couche de sécurité via l’authentification à deux facteurs est l’une des protections les plus efficaces. Même en cas de vol d’un mot de passe, la 2FA empêche un accès non autorisé sans la seconde preuve d’identité — code SMS, app authenticator ou clé matérielle de type YubiKey.

Éviter les Wi-Fi publics et utiliser un VPN

Lorsqu’il faut se connecter à un réseau public, un VPN fiable chiffre tout le trafic sortant et empêche les interceptions locales. Un VPN comme NordVPN ou ExpressVPN protège les données et masque l’adresse IP, renforçant l’anonymat et la sécurité. Pour plus de détails sur les meilleurs VPN disponibles, consulter cet article.

Sans VPN sur Wi-Fi public

  • Trafic HTTP visible par tout le réseau local
  • Requêtes DNS lisibles, historique exposé
  • Vulnérable au MITM et au DNS spoofing

Avec VPN actif

  • Tunnel chiffré bout en bout
  • DNS résolu côté VPN, pas du réseau local
  • Adresse IP masquée, MITM neutralisé

Vigilance face au phishing

Les attaques de phishing restent une menace majeure. Vérifiez toujours l’URL des sites auxquels vous vous connectez et évitez de cliquer sur des liens suspects dans les emails ou messages. L’installation d’un logiciel antivirus fiable peut également vous protéger contre les logiciels malveillants et les tentatives de phishing.

Mises à jour et surveillance des comptes

Assurez-vous que vos appareils disposent des dernières mises à jour logicielles, qui incluent souvent des correctifs de sécurité essentiels. En parallèle, contrôlez vos comptes en ligne fréquemment pour repérer toute activité inhabituelle. En cas de suspicion, changez immédiatement le mot de passe concerné et contactez le service touché.

L’importance de la sécurité dans les produits numériques d’Apple #

Apple se positionne comme un leader en matière de sécurité et de privacy dans l’industrie technologique. Cependant, la récente vulnérabilité de l’application « Mots de passe » met en lumière les défis persistants auxquels l’entreprise est confrontée pour maintenir cette réputation. La sécurité dans les applications intégrées est cruciale, car elle impacte directement la confiance des utilisateurs et la protection de leurs données personnelles.

Historique des défis de sécurité d’Apple

Apple a déjà fait face à plusieurs défis de sécurité au fil des ans, notamment des failles dans le contrôle des accès aux fichiers sur macOS en 2020 (source) et des attaques ciblant le chiffrement des e-mails avec Efail (source). Chaque incident a conduit Apple à renforcer ses protocoles de sécurité et à améliorer ses politiques de mise à jour logicielle.

L’engagement d’Apple envers la cybersécurité

Apple continue d’investir massivement dans la cybersécurité, avec des équipes dédiées à la recherche de vulnérabilités et à la mise en œuvre de solutions robustes. L’entreprise collabore également avec des experts en sécurité indépendants pour identifier et corriger les failles avant qu’elles ne soient exploitées. Malgré ces efforts, la nature complexe des systèmes d’exploitation modernes signifie que de nouvelles vulnérabilités peuvent émerger, nécessitant une vigilance continue et des mises à jour régulières.

Réflexions sur l’avenir de la sécurité chez Apple #

La correction rapide de la vulnérabilité dans l’application « Mots de passe » est un pas dans la bonne direction, mais il est essentiel qu’Apple continue d’améliorer ses pratiques de sécurité pour éviter des incidents similaires. L’intégration de fonctionnalités de sécurité avancées, la transparence dans la communication des failles et des correctifs, ainsi que l’éducation des utilisateurs sur les meilleures pratiques sont des éléments clés pour renforcer la confiance et assurer la protection des données personnelles.

Améliorations attendues

A

Tests pré-release

Renforcer l’audit de sécurité réseau avant chaque release majeure, notamment sur les apps système comme Mots de passe.
B

Communication

Publier des notes plus claires sur les vulnérabilités corrigées et leur impact concret pour l’utilisateur final.
C

Détection avancée

Investir dans des couches de détection comportementale capables d’identifier des patterns de phishing sur Wi-Fi.
D

Sensibilisation

Pousser des alertes pédagogiques contextuelles, notamment lors d’une connexion à un Wi-Fi public inconnu.

Le rôle des utilisateurs

Les utilisateurs jouent également un rôle crucial dans la sécurisation de leurs appareils. En adoptant des pratiques de sécurité proactives — gestionnaire de mots de passe fiable, authentification à deux facteurs, méfiance envers les réseaux Wi-Fi publics — ils peuvent considérablement réduire les risques de compromission de leurs données personnelles. Pour en savoir plus sur les défis auxquels Apple est confronté et les solutions mises en place, consultez cet article détaillé.

Source : www.foxnews.com. Une ressource utile sur le sujet : à consulter.

Questions fréquentes #

Comment savoir si je suis vulnérable ? +
Toute version d’iOS 18 antérieure à 18.2 est concernée. Vérifiez dans Réglages › Général › Informations la ligne « Version logicielle ». Si elle affiche 18.0 ou 18.1, installez la mise à jour immédiatement.
Dois-je changer tous mes mots de passe ? +
Pas systématiquement. Concentrez-vous sur les comptes sensibles (banque, email principal, Apple ID, services de paiement) utilisés sur un Wi-Fi public entre septembre et décembre 2024. Pour le reste, l’audit « Recommandations de sécurité » d’iOS suffit.
L’app Mots de passe est-elle sûre maintenant ? +
Oui, depuis iOS 18.2 les communications réseau de l’app sont chiffrées en HTTPS. Le coffre des identifiants lui-même restait protégé par le Secure Enclave : la faille concernait uniquement le canal réseau utilisé pour télécharger les logos.
Un VPN aurait-il neutralisé l’attaque ? +
Oui. Un VPN actif chiffre la totalité du trafic sortant : même une requête HTTP en clair est encapsulée dans le tunnel VPN, invisible pour l’attaquant local. C’est la mitigation la plus efficace en attendant un correctif officiel.
Faut-il abandonner l’app Mots de passe pour 1Password ou Dashlane ? +
Pas nécessairement. L’app intégrée Apple reste solide une fois patchée et bénéficie de l’intégration native iOS/macOS. Un gestionnaire tiers s’impose surtout si vous avez besoin de partage d’équipe, multi-plateformes (Windows, Linux) ou de fonctions avancées de coffre.

Les points :

Partagez votre avis

Mentions Légales · CGV · CGU