Fuite de photos de stars nues : la faille liée à Localiser mon iPhone comblée

Stéphane Moussie |

Le mystère s'éclaircit autour de la divulgation de photos personnelles et dénudées de célébrités. C'est apparemment une faille dans le service Localiser mon iPhone qui a permis le piratage des comptes iCloud des victimes. Un script en Python publié sur GitHub permettait de réaliser une attaque par force brute sur des comptes iCloud par l'intermédiaire de l'API du service de localisation.

Autrement dit, ce script permettait d'essayer des milliers de combinaisons jusqu'à trouver le bon mot de passe. Si le mot de passe utilisé était très simple, l'opération pouvait être très rapide.

Apple bloque normalement pendant quelques minutes l'authentification à un compte iCloud après cinq essais infructueux, mais l'API de Localiser mon iPhone contenait une faille qui permettait de passer outre cette mesure de protection.

Une fois en possession du mot de passe, la personne malveillante avait accès à l'intégralité du compte iCloud, dont le flux de photos.

Apple a apparemment comblé cette faille il y a quelques dizaines de minutes. « Fini de s'amuser, Apple vient juste de corriger [la faille] », peut-on lire sur la page GitHub du script.

Il n'est toutefois pas certain que toutes les photos divulguées proviennent d'iCloud. Certains dossiers contenant les photos renferment des fichiers propres à Dropbox.

Pour éviter ce genre de déconvenues, outre utiliser un mot de passe fort, il est vivement recommandé d'activer la vérification en deux étapes. Un code de validation est envoyé sur un appareil censé être sûr (son smartphone, typiquement) quand on se connecte à partir d'un terminal ou d'un lieu différent. La vérification en deux étapes est disponible pour les services d'Apple, de Google et de Dropbox, entre autres.

Pour aller plus loin :
Tags
#iCloud #sécurité #celebgate
avatar F | 

Ou tu vas ...

avatar cdp86 | 

Attendons d'y voir plus clair, ce sera intéressant de connaître la façon de procéder du pirate. L'accès aux flux de photos d'un autre appareil n'est quand même pas si simple. Il peut par contre être assez compliqué de supprimer définitivement ses photos sur iOS 7. Si vous êtes en wifi et après quelques secondes, les photos sont automatiquement sauvegardées sur iCloud puis recopié sur le Mac dans flux de photo ET dans un album (j'ai oublié lequel). Il faut donc supprimer la photo de 3 fois (j'ai fais le test involontairement..). Ca va changer avec iOS 8 (2x fois seulement).

P.S : Pour ceux qui sont intéressé par les photos de stars, c'est pas bien compliqué, un coup de Google image portant sur les dernières 24h et basta. Tout est là.

avatar Madalvée | 

Oui mais ces stars je les connais pas, alors à quoi ça sert ? Il y a d'autres beaux morceaux de viande sur les sites spécialisés.

avatar Leptiravi | 

C'est assez abusé de pouvoir hacker icloud, en sachant que le mot de passe apple doit contenir chiffres lettres majuscules, et qu'il fallait connaître l'adresse icloud de ces "stars" …

avatar joneskind | 

@Leptivari

Faut pas déconner, le site n'a pas été hacké, certains mots de passe ont été récupérés par force brute, c'est très différent. En gros un ordinateur teste tous les mots de passe jusqu'à tomber sur le bon.

La "faille" vient du fait que normalement une sécurité complique le travail de recherche en bloquant l'essai pendant un certain lapse de temps au bout d'un certain nombre de tentatives, mais que ce mécanisme n'a pas fonctionné.

Donc pas la peine de paniquer en te demandant si ton compte iCloud à été corrompu, il n'y a aucun risque.

avatar Darth Philou (non vérifié) | 

À tous ceux qui critiquent Apple sur cette affaire.

L'article parle d'un piratage par force brute. Ça signifie donc que la première vulnérabilité vient du choix du mot de passe.

Le premier fautif est donc encore une fois l'utilisateur.

avatar lmouillart | 

[supprimé]

avatar Darth Philou (non vérifié) | 

@lmouillart :
Ouai alors des boîtes qui ne limitent pas les erreurs de logon d'API...
Le plus simple serait de lister celles qui le font.

avatar gérard1 | 

sauf que seul apple se fait avoir. essaye encore

avatar tomatito | 

C'est pas le plus grave, mais si la faute d'Apple est avérée, je me demande comment ils vont réussir à se dépatouiller de cette affaire..

avatar Orus | 

Trop tard, le mal est fait. Le peu de confiance qu'il restait, à disparu. Envoyer des fichiers à on ne sait qui, on ne sait où, consultable par on ne sait quel espion ou pirate, non merci.
La sécurité ne sera jamais totalement assurée, c'est impossible.

avatar gérard1 | 

apple est toujours aussi nul en sécurité. pas de danger que je mette quoi que ce soit sur leur icloud merdique

avatar expertpack | 

@Kimaero

Star et débilité profonde, pléonasme non ?

avatar sinamore | 

Il faut en finir avec le cloud qui ne sera jamais totalement sécurisé et dire qu'Apple a failli supprimer la synchronisation en local entre Mac et iPhone/iPad. Franchement faut arrêter les gars. Et rendez-nous la synchro locale des notes aussi. Bord...

avatar Brice21 | 

J'ai trouvé une archives des photos en téléchargement sur un gros site de discussion à propos des technologies. Une bonne partie des photos et des vidéos ne proviennent pas d'iPhone... Je suis quasi sur que c'est un hack de Dropbox, avec leur système d'upload automatique des photos, et pas d'iCloud. Une fois encore les media vont tirer à tort sur Apple, parceque c'est plus vendeur.

avatar yoyo3d | 

Quelle mauvaise publicité pour Apple et quelle légèreté dans leur gestion de la sécurité.

avatar Darth Philou (non vérifié) | 

@yoyo3d :
Parce que les utilisateurs mettent des mots de passe faciles, c'est Apple qui est léger sur la sécurité ???

avatar yoyo3d | 

@Darth Philou

Laisser une faille qui permet de, je cite, "bombarder de mot de passe le service, autant de fois qu’il le voulait pour deviner le mot de passe et accéder ainsi aux contenus iCloud", oui c est de la négligence coupable.

avatar Garfield3 | 

Apple
La sécurité c'est nous, la faille c'est vous.........

Bon avec le péquin moyen ça pouvait marcher mais avec le gratin d'Hollywood qui a l'habitude d'avoir une armée d'avocats va falloir sortir le chéquier et s'excuser platement. Le marketing basé sur la sécurité va en prendre un sérieux coup....pom pom pom

avatar damiendu83600 | 

@Garfield3 :
La sécurité sur IOS est quand même assez reconnu par divers étude ... Aucun système n'est sécurité à 100% et apple est plus exposé sur IOS au attaque.

avatar sekhmet | 

les responsabilités à mon sens se répartissent comme suit :
1- l'utilisateur qui a un mot de passe dans le top 500 des mots de passe.
le meme utilisateur qui laisse sur le cloud et dropbox des photos de star au lieu de se contenter de son disque dur à la maison.
2-Apple qui a une faille pour les attaques de forces brutes (comblée)
3- les star en question ont 0 responsabilités, pas la peine d'être méprisant sur leur intelligence. c'est leur ex-copain qui a pris les photos, elles sont pas responsable de ce qu'il en fait.

perso ils peuvent bien tenter la force brute sur mon compte Apple avec 6 chiffres en plus des lettres je rajoute déjà 1 millions de tentatives à faire.

avatar debione | 

Laisser des photos de soi nu dans les mains de quelqu'un d'autre (que ce soit son copain, son mari, son frère, son cousin), c'est pas ne pas être intelligent, c'est être vraiment un gros(se) naïf de la vie...

Pages

CONNEXION UTILISATEUR