Fermer le menu

Fuite de photos de stars nues : la faille liée à Localiser mon iPhone comblée

Stéphane Moussie | | 15:39 |  72

Le mystère s'éclaircit autour de la divulgation de photos personnelles et dénudées de célébrités. C'est apparemment une faille dans le service Localiser mon iPhone qui a permis le piratage des comptes iCloud des victimes. Un script en Python publié sur GitHub permettait de réaliser une attaque par force brute sur des comptes iCloud par l'intermédiaire de l'API du service de localisation.

Autrement dit, ce script permettait d'essayer des milliers de combinaisons jusqu'à trouver le bon mot de passe. Si le mot de passe utilisé était très simple, l'opération pouvait être très rapide.

Apple bloque normalement pendant quelques minutes l'authentification à un compte iCloud après cinq essais infructueux, mais l'API de Localiser mon iPhone contenait une faille qui permettait de passer outre cette mesure de protection.

Une fois en possession du mot de passe, la personne malveillante avait accès à l'intégralité du compte iCloud, dont le flux de photos.

Apple a apparemment comblé cette faille il y a quelques dizaines de minutes. « Fini de s'amuser, Apple vient juste de corriger [la faille] », peut-on lire sur la page GitHub du script.

Il n'est toutefois pas certain que toutes les photos divulguées proviennent d'iCloud. Certains dossiers contenant les photos renferment des fichiers propres à Dropbox.

Pour éviter ce genre de déconvenues, outre utiliser un mot de passe fort, il est vivement recommandé d'activer la vérification en deux étapes. Un code de validation est envoyé sur un appareil censé être sûr (son smartphone, typiquement) quand on se connecte à partir d'un terminal ou d'un lieu différent. La vérification en deux étapes est disponible pour les services d'Apple, de Google et de Dropbox, entre autres.

Catégories: 

Les derniers dossiers

Ailleurs sur le Web


72 Commentaires Signaler un abus dans les commentaires

avatar bugman 01/09/2014 - 15:42

Enfin... Tout est bien... qui fait flipper (un peu quand même) !

avatar jojostyle94 01/09/2014 - 15:44 via iGeneration pour iOS

Une faille de sécurité pour le plus grand bonheur des fans

avatar Sylvain Trinel 01/09/2014 - 15:49

Je ne sais pas si on peut appeler "fan" des gens qui aiment se palucher devant des photos voler...



avatar tonton69 01/09/2014 - 15:47

Le plus important est : ou peut-on trouver ces photos ? ^^

avatar jb18v 01/09/2014 - 16:29 via iGeneration pour iOS

@tonton69 :
Bonne question, ceux qui les partageaient sur twitter se sont fait suspendre leur compte ^^

avatar Lestat1886 02/09/2014 - 09:36 (edité)

Regarder ces photos c'est approuver le vol de données privées, que ce soit des célébrités ou non ça ne change rien

avatar jeremiecroupotin 01/09/2014 - 15:50 via iGeneration pour iOS

Plutôt que des photos de starlettes nues, ils auraient mieux fait de récupérer la présentation de la prochaine Keynote sur l'iPad de Tim Cook.

avatar ingrDxX 01/09/2014 - 15:57 via iGeneration pour iOS

@jeremiecroupotin :
Y'a déjà tellement de "leaks" que son iPad il doit même pas le connecté à internet, et il le range certainement dans un micro-ondes pour être sur de bloquer toutes les ondes pour réduires encore les chances de vol de données à distances

avatar Ipadhenry97 01/09/2014 - 15:52 via iGeneration pour iPad

Des "stars" on s'en fous... Tant que c'est pas les utilisateurs !

avatar Lestat1886 02/09/2014 - 09:40

Ces stars utilisaient le service et étaient donc bien aussi des utilisateurs. Tous les utilisateurs étaient concernés par cette faille!

Alors oui nos photos ont beaucoup moins d'attrait que celles de personnes exposées mais ça veut pas dire qu'on n'a pas de données sensibles autres que des photos comme le prouvent tous les vols d'identifiants et de mot de passe qui ont eu lieu ces derniers temps...

avatar Saint-Jey 01/09/2014 - 15:54

les dernières news semblent indiquer que ce sont des comptes dropbox qui ont été hackés

avatar SIMOMAX1512 01/09/2014 - 15:55 via iGeneration pour iOS

Activer le flux de photos avec des photos nu en plus quand t'es une star mondial c'est quand même dangeureux, elles seront plus attentives la prochaine fois.

avatar joneskind 01/09/2014 - 20:20 (edité)

@SIMOMAX1512

J'ai même envie de dire que c'est complètement con!

avatar enzo0511 01/09/2014 - 15:57 via iGeneration pour iOS

Raison de plus pour ne stocker aucune donnée sensible via le cloud notamment celui d'Apple

avatar melaure 01/09/2014 - 16:06 via iGeneration pour iOS

Il est surtout recommandé de fuir le cloud comme la peste ...

avatar lmouillart 04/03/2015 - 10:26

[supprimé]

avatar geo44270 01/09/2014 - 16:13 via iGeneration pour iOS

@lmouillart :
Apple ID = iCloud ID il me semble.

avatar Tomtomrider 01/09/2014 - 16:14 via iGeneration pour iOS

@lmouillart :
Il me semblait aussi. Depuis que je l'ai activé d'ailleurs j'ai jamais eu à m'en servir. J'aimerai bien, comme avec Google par exemple, qu'à chaque fois que je me connecte sur la suite internet il me demande un code de sécurité.

avatar patrick86 01/09/2014 - 17:09 via iGeneration pour iOS

@lmouillart :
Un compte iCloud se crée avec un Apple ID et y reste lié (mêmes identifiants et mdp).

L'authentification en deux étapes, si elle est activée, est requise pour se connecter à la page de configuration de son Apple ID (là où on peut changer le mdp).

avatar lmouillart 01/09/2014 - 17:32

C'est bien ce qu'il me semblait, donc on a la double authentification pour les boutiques en ligne Apple, mais pas pour les données privées ? C'est un choix bien curieux.

Je suis heureux d'avoir migré mes données chez Google il y a quelques années, Google s'en sert pour me proposer des publicités ciblés certes, mais au moins elle ne se baladent pas dans la nature.

avatar joneskind 01/09/2014 - 20:33

@lmouillart

Parce que tu crois vraiment que tes données sont pas dans la nature ? Elles doivent être chez au moins cinquante régies publicitaires pas forcément super bien sécurisées...

Ce que tu peux par contre te dire c'est qu'il doit pas y avoir grand monde intéressé par des photos de nus de toi, à moins qu'en fait lmouillart ne soit le pseudo derrière lequel se cache Jean Dujardin ou Michel Galabru, mais j'ai quand même quelques doutes (et auquel cas tu peux par ailleurs te féliciter puisque ta couverture a super bien fonctionné)

Pour ce qui est d'Apple ID/iCloud. C'est la même chose. Tu peux te connecter à l'AppleStore avec ton ID Apple ou ton ID iCloud. En fait l'ID Apple c'est ton adresse mail de facturation (qui doit être différente de ton adresse iCloud) et donc c'est double vérification pour l'un comme pour l'autre.

avatar lmouillart 01/09/2014 - 21:07

"Pour ce qui est d'Apple ID/iCloud. C'est la même chose. Tu peux te connecter à l'AppleStore avec ton ID Apple ou ton ID iCloud. En fait l'ID Apple c'est ton adresse mail de facturation (qui doit être différente de ton adresse iCloud) et donc c'est double vérification pour l'un comme pour l'autre."
Chez moi ça ne fonctionne pas alors. J'ai la double authentification sur mon compte Apple ID pour acheter des choses, par contre je n'ai jamais rien reçu si je me connecte sur l'interface web iCloud.

"Parce que tu crois vraiment que tes données sont pas dans la nature ? Elles doivent être chez au moins cinquante régies publicitaires pas forcément super bien sécurisées..."
Je n'ai pas compris.

avatar ingrDxX 02/09/2014 - 05:06 via iGeneration pour iOS

@joneskind :
Euh désolé de te dire ça mais y'a que toi que ça fait fantasmer de voir Jean Dujardin ou Michel Galabru nu.. T'es un peu bizarre comme type quand même..

avatar Fumée 01/09/2014 - 16:20 (edité)

Qui a dit que l'iPhone c'était exta sécurisé de la mort qui tue tout le monde ?
Je suis plié en 4.

Pages