Fuite de photos dénudées : Apple enquête

Mickaël Bazoge |

Depuis ce matin, l'affaire fait grand bruit. Des photos de célébrités nues sont en libre circulation sur internet, suite à l'exploitation d'une faille au sein du service Localiser mon iPhone. Les pirates ont en fait usé de force brute sur les comptes iCloud des victimes, en utilisant un script Python qui teste des milliers de combinaisons avant de trouver le sésame.

L'actrice Jennifer Lawrence fait partie des victimes de ce piratage.

Apple a rapidement comblé la brèche, mais malgré tout le mal est fait : à quelques jours d'un special event où il devrait être question d'un objet « prêt à porter » mesurant et analysant l'activité physique, la sécurité des données revient sur le devant de la scène : qui voudrait laisser à iCloud le soin de stocker des informations aussi précieuses concernant sa santé si la sécurité n'est pas maximale ?

Apple « enquête activement » sur le vol de données qui a eu lieu sur les comptes iCloud des vedettes touchées, assure le constructeur à Re/code. « Nous prenons la vie privée très au sérieux et nous enquêtons sur le sujet », fait savoir Natalie Kerris, porte-parole du groupe. Il est effectivement capital pour Apple de prendre le problème à bras le corps, au moment où la société va sans doute proposer de stocker encore plus de données très personnelles dans son nuage.

Ce piratage aurait été rendu beaucoup plus difficile si Apple faisait une plus grande publicité à son système de vérification en deux étapes, pointent des experts en sécurité. Dans la confusion certaine qui règne encore autour de cette affaire, il semble néanmoins qu'Apple ne soit pas seule en cause : apparemment, des vidéos circulant sur Dropbox auraient aussi été piratées.

avatar zzBoibes | 

C'est Google qui a monté cette attaque pirate pour discréditer Apple. Le complot ! :-D

avatar Seedlers | 

Cette affaire, juste avant l'Event du 9 septembre. En effet, on se pose des questions.

avatar Xap | 

Et sinon, la responsabilité des victimes d'utiliser un mdp crackable par brute force, personne ne semble l'évoquer...

avatar Xalio | 

@Xap :
Enfin! Merci!

avatar YAZombie | 

Et quand une femme se fait violer c'est de sa faute aussi?

avatar JoKer | 

Parce qu'utiliser un mot de passe faible tu le mets à quel niveau dans ta comparaison ?
"Se balade nue avec une pancarte prend-moi" ?

avatar YAZombie | 

Dans le fait qu'une victime reste une victime, même si elle porte une mini-jupe ou si elle a utilisé un mot de passe faible pour protéger des pics d'elle-même nue, qui restent des documents privés. Dire ou même sous-entendre que c'est de leur faute si un salaud à duffusé ces documents privés c'est être une auss bellei pourriture que le salaud en question.

avatar Darth Philou (non vérifié) | 

@YAZombie :
Comparer le vol de photos sur un espace de stockage partagé à un viol est juste immonde.

avatar YAZombie | 

Nier le statut de victime de personnes qui se sont vues voler leurs photos privées et considérer que ce n'est que la conséquence de leurs actions est juste ignoble.

avatar Darth Philou (non vérifié) | 

@YAZombie :
Et oui. Nous vivons dans un monde de bisounours où tout le monde il est beau et tout le monde il est gentil.

Est-ce que ça vous viendrait à l'esprit de laisser votre voiture sans la fermer et avec les clefs sur le contact ? Est-ce que vous partez en vacances sans verrouiller votre maison ou votre appartement ?

Bien sur que le voleur est le premier coupable. Mais quid de l'inconscience ou de la naïveté du volé dans ces circonstances ? Vous porterez plainte contre l'architecte de votre maison quand vous vous serez fait cambriolé ou au constructeur de votre voiture quand vous la retrouverez facturée ?

Bienvenue dans la réalité.

avatar YAZombie | 

Je ne vois pas où j'ai même de loin impliqué ton idée de bisounours, tu projettes à mort.
Pour le,reste des comparaisons spécieuses, j'ai répondu au-dessous. J'y ai oublié néanmoins de rappeler que même avec une maison ou une voiture fermées à clé on peut se la faire voler. Et on sait très bien qu'un mot de passe ça se craque. Ça aurait quoi "l'argument" dans le cas d'un mot de passe plus puissant? D'ailleurs, l'argument… pour soutenir quoi exactement?

Je ne comprends vraiment pas qu'on puisse comparer en son âme et conscience un vol de voiture à l'étalement en public de la vie privée de personnes qui, si elles sont des stars ou que sais-je, n'en subissent pas moins les conséquences. On ne doit pas avoir la même idée du respect de la personne humaine quelle qu'elle soit.
C'est parce que c'est des femmes peut-être?

avatar JoKer | 

C'est bien pour pousser ton raisonnement à l'absurde que j'ai répondu.

Pour être plus clair (et pour reprendre les analogies), si le propriétaire d'un appartement se fait cambrioler et qu'il est prouvé qu'il n'avait pas fermer sa porte, bien sûr, les voleurs sont coupables, mais tu ne penses pas qu'il y a un problème par rapport à la négligence du propriétaire ?
Tu penses que les assurances vont tout rembourser les yeux fermé ?

Edit : j'ai vu que Darth Philou m'a devancé.

avatar YAZombie | 

C'est ton propre raisonnement que tu pousses toi-même à l'absurde, pas le mien. En l'occurrence les portes n'étaient sont pas ouvertes, les utilisateurs avaient utilisé un mot de passe, la porte était fermée. Qui plus est les mots de passe en question étaient acceptés par le système de stockage ce qui incite à la confiance.

Quoi qu'il en soit il ne s'agit pas ici d'appartement cambriolé mais de personnes dont des photos privées ont été non seulement volées mais mises à la disposition du public par une belle bande d'ordures. Comparer l'un à l'autre est au mieux spécieux, au pire dénote une idée de la morale qui pose question.

avatar JoKer | 

J'imagine que tu ne t'es jamais fait cambriolé ?
Et bien crois moi c'est un réel traumatisme.
Je pense qu'un cambriolage à bien plus d'impact sur un être humain que le déballage de quelques photos que seul des pervers visionneront sur le net.

Le fait est qu'Apple (et les autres) donne tout ce qu'il faut comme information (force du mot de passe) et que le double vérification est bien mise en avant (sans tout imposé, parce que ça gueulerait trop).

avatar YAZombie | 

En fait tu viens apporter quoi? Ton témoignage sur ton traumatisme de t'être fait cambrioler, ou ton opinion que finalement
1/ c'est pas bien grave de voir des photos de soi nue voire en pleine action
2/ elles l'ont bien mérité puisque Apple fournit les outils nécessaires pour se protéger?
On passera sur les "pervers" (c'est quoi l'activité essentielle du Net déjà? Ah oui…). Je n'argumenterai même pas sur les aspects "techniques" où tu es tellement à côté de la plaque que c'est scandaleux que tu oses même t'exprimer dessus. Mais désolé, j'ai beaucoup de mal avec un tel manque d'empathie pour ce qui reste des VICTIMES bordel!!!

avatar JoKer | 

Ce que j'apporte ? Rien.
Je réponds juste a ton message de comparaison avec un viol.

Oui, je me suis fait cambriolé et oui, j'ai une part de responsabilité.
La porte était fermée à clef, mais le verrou était un cylindre basique qui sortait de la porte.
Depuis j'ai appris et maintenant j'ai une porte bien plus sécurisée qui découragerait la très grande majorité des cambrioleurs.

L'importance du niveau de sécurité est proportionnel à l'importance des choses que l'on veut sécuriser.
Il y a donc un vrai problème par rapport à ces photos (comme avec mon appartement avant le cambriolage).

=> "c'est quoi l'activité essentielle du Net déjà? Ah oui…"

Je ne suis pas sûr de bien comprendre et je ne suis même pas sûr d'avoir envie de comprendre.

avatar arturus | 

+1 YAZombie

avatar Le Gognol | 

"Des photos de célébrités nues sont en libre circulation sur internet, suite à l'exploitation d'une faille au sein du service Localiser mon iPhone" : alors là dans le genre raccourci un peu hâtif, tu as fait fort...

avatar Frodor | 

Des précisions doivent être apportés à l'article : le compte d'un joueur américain de football a été piraté. Et c'était sur ce compte que se trouvait toutes ces photos de stars. Apple n'est donc pas la seule fautive dans l'histoire ...

avatar Mickaël Bazoge | 
Nous allons attendre d'en savoir un peu plus car actuellement, on est dans le flou le plus total sur cette histoire.
avatar Le Gognol | 

D'où mon commentaire sur le raccourci très hâtif au début de l'article...

avatar Mickaël Bazoge | 
Ça, c'est il me semble à peu près acquis : iBrute, le script Python en cause, permettait de craquer la protection Localiser mon iPhone avant qu'Apple bouche la faille.
avatar Le Gognol | 

Oui mais le lien entre les deux affaire n'est absolument pas avéré. D'ailleurs une partie au moins de ces données vient de Dropbox. Bref, l'heure n'et pas aux raccourcis et conclusions hâtifs.

avatar Dwigt | 

Le paquet de photos qui a été mis en ligne fait apparemment partie d'un ensemble constitué sur des semaines ou des mois et que quelques "happy few" se partageaient, en payant pour cela.
Une ou plusieurs personnes ont alors décidé de balancer de balancer des échantillons sur des sites anonymes, apparemment AnonIb plutôt que 4Chan, puis des petits malins ont aussitôt re-posté le truc en indiquant leur code Bitcoin, histoire de s'attirer des "dons".

Il ne semble donc pas qu'il y ait "un" hacker, une source unique ou une méthode unique, même si iCloud est une piste sérieuse, en raison de la part de marché de l'iPhone aux USA et surtout à Hollywood. Ce qui semble sinon se dessiner, c'est que ça a surtout été une communauté très refermée qui a passé du temps à amasser cette collection, avec une ou plusieurs personnes qui balancent maintenant les documents sur le web aux quatre vents.

avatar patrick86 | 

Tout être Humain faisant preuve d'un minimum de bon sens, ne stocke pas ses photos de charmes sur la machine d'un inconnu et avec un mot de passe médiocre.

avatar lmouillart | 

Sur mon compte en tout cas (via le web) la force brute fonctionne toujours.
J'ai le 2-step logon d'activé, cela ne me demande une vérification sms que pour ID Apple, pas icloud.com, ni itunes, ni l'Apple Store.

A la vue de la manière dont cela semble documenté visiblement je ne suis pas dans le cas correcte, où la vérification en 2 étape devrait s'effectuer partout.

Je suppose que si cela fonctionne mal chez moi, ça doit aussi fonctionner mal chez d'autres ?

ps : je n'ai plus d'ibidules, c'est due à cela ?

[EDIT]
En fait je crois que j'ai trouvé, le compte ID Apple utilisé sur icloud et testé en force brute ne bloque rien.
Le compte icloud utilisé sur icloud et testé, bloque bien mon compte.

Bref il ne faut pas avoir le même mot de passe entre le compte ID Apple et iCloud sinon le 2 step logon ne sert a rien, suffit de s'attaquer au plus faible des deux.

Par contre la gestion du 2step logon sur le compte ID Apple à l'air totalement buggé vu qu'en dehors d'icloud cela ne me le demande nul part sauf sur ID Apple.

avatar tahitibob987 | 

Quelle idée de prendre des photos nue aussi

avatar Le Gognol | 

C'est à dire ? C'est interdit ? C'est immoral ? C'est idiot ?

avatar marenostrum | 

on s'en fout en fait. c'est par le visage d'une personne qu'on l'identifie, pas par sa chatte. (j'en ai vu les quelques photos en question)
tous ces actrices protestent parce elles se trouvent plus moches et banales déshabillés que habillés par les plus gros stylistes.
les photos nues ça leur sert, sinon elles ne seraient jamais répandues sur les réseaux au moins.

avatar YAZombie | 

"les photos nues ça leur sert, sinon elles ne seraient jamais répandues sur les réseaux au moins": toi, t'es ce qu'on appelle un gros con.

avatar Henri_MTL | 

@marenostrum: Rien compris à ton charabia, enfin au moins tu démontres le niveau de QI qu'il faut pour avoir eu un intérêt quelconque pour aller chercher ces photos..... À bon entendeur !

avatar Manao | 

@Le Gognol : Rhrhrh. J'adore, bonne réponse :D

avatar steinway59 | 

C'est quoi le système de vérification en deux étapes?

avatar lmouillart | 

L'authentification se base sur un processus scindé en deux.
1ère étape : on s'authentifie classiquement avec son identifiant et son mot de passe.
2ème étape : on donne un 3ème élément plus ou moins aléatoire proposé sur un élément de confiance : clé, papier, sms, ...

L'accès à l'élément demandé est valide si l'étape 1 ET 2 sont ok, sinon l'accès est refusé.

avatar Jitech | 

Comment le hacker a-t-il obtenu l'adresse email du compte iCloud des victimes ? Déjà ça faut le faire.
Et si ces logins avait été récupérés par Samsung grâce à la campagne publicitaire visant à prêter des Note 3 à des célébrités afin qu'elles se prennent en selfie ? Hmm ça sent bon la théorie du complot tout ça :D

Par contre je ne comprends pas pourquoi il n'y a pas un délais entre 2 tentatives de connexion ?

avatar joneskind | 

@Jitech

"Par contre je ne comprends pas pourquoi il n'y a pas un délais entre 2 tentatives de connexion ?"

Il y a justement dans ce mécanisme qu'il y avait une faille.

avatar joneskind | 

C'est vrai que le timing est particulièrement mauvais. Je me demande comment Apple va gérer l'affaire au keynote.

Sinon, le fait qu'on ait retrouvé de vieilles photos qui auraient du avoir été effacées du cloud pourrait aussi signifier que le coup est préparé de longue date. D'ailleurs, qu'est-ce que des vidéos Dropbox viennent foutre là-dedans ?

Enfin, puisqu'il s'agit d'une attaque par force brute, on peut imaginer que les comptes n'ont pas été piratés en une fois mais l'un après l'autre. Pourquoi donc avoir attendu si longtemps avant de publier les photos ? Les motivations du hacker sont plus que troubles. On ne comprend pas vraiment le but de la manœuvre. On voit juste les dommages collatéraux: le slut shaming bien misogyne de base, comme d'habitude.

avatar YAZombie | 

"On voit juste les dommages collatéraux: le slut shaming bien misogyne de base, comme d'habitude": merci joneskind, j'ai bien cru qu'il n'allait y avoir que des réactions de gros cons phallocrates, prétentieux et moralisateurs…

avatar Louis Prunelle | 

Mais voyons, il n’y a pas de quoi en faire un plat, puisqu’Apple va sortir un prêt-à-porter pour les habiller !
(faut juste leur souhaiter de ne pas prendre froid en attendant)

avatar 406 | 

Ça reste gentil, ses photos

avatar baloo55 | 

"Ca reste gentil"... tout est relatif, je comprend que certaines stars fassent vraiment la gueule. Jennifer Lawrence ne doit vraiment pas étre contente de voir des photos d'elles avec du sperme plein sur le visage circuler sur le net et Kate Upton doit étre tout autant furieuse de savoir que des vidéos d'elle en train de se faire sauter par son mec sont visibles par quiconque cherche un minimum. Evidemment, si on compare avec n'importe quelle video XXX, ça reste gentil, sauf qu'ici les photos et videos n'ont pas été faites pour étre diffusées...
Et j'ajoute que je ne suis pas d'accord avec ceux qui disent qu'elles n'avaient qu'a ne pas se faire prendre en photos nues et les uploader sur iCloud. Ces photos sont privées, n'importe qui doit avoir le droit d'étre libre de faire ce qu'il veut dans sa vie privée, et elles auraient du rester privées. Si on commence à devoir faire de l'auto-censure dans sa vie privée, ou va t'on....
Cela dit, il est clair que toute star devrait faire vraiment attention à la ou elles mettent leurs photos car elles sont des cibles par définition pour les hackers. Mais la plupart de celles dont on a volé leurs photos sont encore des gamines, à un moment ou on a envie de toutes les transgressions, donc evidemment, le risque est d'autant plus grand...

avatar arekusandoro | 

Ho purée ça serait google en cause tous les Fanboy seraient déjà en train de demander la fin de la société....mais non quand c'est Apple c'est la faute : des utilisateurs, des services tiers, de la météo etc etc mais JAMAIS d'Apple...même si toute la lumière n'est pas faite et il ne faut tirer sur personne j'aimerais tellement que cette précaution soit prise pour toutes les sociétés...parfois les fanboys me font penser aux supporter ultra au foot...ils haïssent l'équipe adverse sans se rendre compte que quand le match est terminé les joueurs vont tous boire un verre ensemble cordialement...

avatar marenostrum | 

ça montre que le service apple est tellement simple. elles peuvent pas avec leur cerveau de 2 grammes utiliser autre chose, par sa complication, qu'un service apple.

avatar misterbrown | 

@Xap :

y a que les geeks ou les paranos pour utiliser des mdp non crackable en force brute.

J'imagine que la plupart des stars utiliser le nom de leur chien ou d'un poisson exotique.
Et aussi qu'une fois leur mdp AppleID trouvé, il doit correspondre à leur Dropbox, hotmail

avatar marenostrum | 

(leur) la date de naissance (le mot de passe pour la plupart des gens) est connue publiquement (pour les "stars"). pas besoin de force brute du tout, il suffit juste de connaitre e-mail qui sert de ID Apple, et le tour est joué.

avatar jefrey | 

On s'en fout des débats sur la sécurité des comptes iCloud, tout le monde veut voir les photos et demande un lien. Merci d'avance.

avatar YAZombie | 
avatar baloo55 | 

Je ne pense pas que MacG va apprécier si on poste un lien mais si tu fait une recherche Google avec ceci tu trouveras facilement toute la "collection" :
09.02.2014 Download Fappening Huge Celebrity Nude Photo Leak Col

avatar jamesc37 | 

@jefrey :
J'adore FAN !!!!

avatar LauXy | 

Je me demande pourquoi après la désactivation de Localiser mon iPhone. Le logo de localisation est resté affiché près du batterie alors que dans le réglage aucunque affiche la flèche bleu...
Je désactive la localisation et reboot iPhone 5S, rien n'est résolu donc je pense que c'est vraiment un bug dans Localiser mon iPhone.

Le pirate en a profité cette faille ...

Pages

CONNEXION UTILISATEUR