Si vous avez un compte de messagerie Yahoo et que vous envoyez des courriels à votre iPhone Apple, vous risquez de compromettre votre sécurité sans le savoir, a fait savoir Tech.co.uk.

Avec les comptes de messagerie autres que Yahoo, l'iPhone Apple utilise le protocole IMAP (Internet Mail Access Protocol) pour envoyer des e-mails. Ce dernier interroge les e-mails du serveur. Vous devez donc attendre de voir les nouveaux messages..

Avec Yahoo Mail, cependant, l’iPhone d’Apple s’authentifie en combinant un protocole propriétaire appelé XYMPKI, avec IMAP, selon la société de logiciels Isode et son expert en sécurité de la messagerie électronique, Dave Cridland. .

Yahoo ne fournit pas de service IMAP général - ils utilisent IMAP uniquement pour l’accès à l’iPhone et bien que l’iPhone prenne en charge TLS (Transport Layer Security), Yahoo! IMAP ne le fait pas, ce qui conduit à une attaque dite de rejeu. De telles attaques vous rendent vulnérable car quelqu'un pourrait tromper le serveur de noms de domaine, prétendant être le serveur de messagerie de Yahoo..

Écoute

Cela pourrait permettre à quiconque d'espionner l'échange d'authentification par courrier électronique lorsque vos courriels sont transférés sur votre iPhone Apple, en particulier lorsque vous utilisez un point d'accès Wi-Fi ouvert (public ou privé). Le pirate informatique peut alors obtenir un accès complet à votre compte de messagerie jusqu'à ce que vous changiez votre mot de passe. Isode a déclaré sur son site Web qu'elle "déconseillait d'utiliser le service Yahoo avec un iPhone, à cause de ce risque de sécurité".

Si Apple et Yahoo avaient pris en charge les normes TLS dans ce cas, les attaques par rejeu ne seraient pas possibles, a écrit Cridland sur son blog. Ou bien les deux entreprises auraient pu développer "un autre mécanisme exclusif offrant une réelle sécurité".

"Mais ils ne l'ont pas fait. Parce qu'ils, apparemment, ne se soucient pas vraiment de la sécurité de base, des normes, ou de tout autre chose, à part le fait d'avoir l'air cool. Je ne sais pas pourquoi je suis si en colère à ce sujet, étant donné que je ne possède pas d’iPhone Apple, mais c’est encore une déception de la part de ceux qui devraient vraiment mieux savoir ", a écrit Cridland.

En l'état actuel des choses, l'iPhone d'Apple utilise le logiciel propriétaire XYMPKI développé par Apple et Yahoo. "Si Apple et Yahoo avaient choisi d’utiliser la suite de protocoles Lemonade existante à standard ouvert, cela n’aurait tout simplement pas été possible", a conclu M. Cridland..