Jennifer Lawrence, Kate Upton, Kirsten Dunst et une dizaine d'autres vedettes font partie des victimes d'un vol à grande échelle de photos dénudées. Réalisés dans un cadre privé, ces clichés n'auraient jamais dû sortir de la sphère intime, et cela a pourtant été le cas.

La nature de ces images volées n'a ici pas beaucoup d'importance, même si cela a participé à leur diffusion virale et à l'énorme buzz qui s'en est suivi — et qui se poursuit d'ailleurs. iCloud est, à tort ou à raison, dans l'œil du cyclone, même si les choses ne sont pas aussi claires qu'elles semblent le paraître. Difficile donc d'en vouloir à certaines des célébrités de s'en prendre directement à Apple et à son bouquet de services web.

L'affaire est d'autant plus importante pour Apple que le constructeur va lancer la nouvelle génération d'iPhone 6, l'iWatch et iOS 8 le 9 septembre, accompagnés de nouveaux services orientés santé qui tireront parti du nuage d'iCloud. Si la sécurité de photos n'est pas assurée, que dire alors du stockage de données aussi confidentielles que celles concernant sa santé (lire : iWatch : bracelet prévenant ou menotte numérique ?) ?

Pris dans la tourmente et pressé de réagir au plus vite, Apple n'a donc pas tardé à communiquer, via un communiqué mis en ligne sur son site web. En substance, la Pomme dédouane iCloud de tout problème de sécurité et en creux, semble mettre en cause les victimes, coupables de n'avoir pas créé de mots de passe forts ni activé l'authentification en deux étapes.

C'est là un cas d'école en matière de communication de crise, et une épreuve pour la cellule relations publiques du constructeur, dont le discours offensif et un rien bravache paraît déconnecté de l'émotion suscitée par ces fuites ; on l'attendait plus sur le registre de la compassion (lire : Comment Apple ne communique pas avec la presse). Car même s'il s'en défend, le constructeur de Cupertino a, sinon une part de responsabilité dans cette affaire complexe, au moins fait preuve d'une certaine légèreté.

Un emballement qui se transforme en scandale

Pour faire le point sur ce dossier baptisé « Celebgate » par la presse américaine, il faut remonter à l'origine de la fuite. Les premières images de stars dénudées ont été mises en ligne le 26 août. Des utilisateurs anonymes du forum Anon-IB postent sur le site de partage de photos (spécialisé dans la diffusion d'égoportraits volés de nus) quelques clichés privés de Jennifer Lawrence, des images récupérées en « piratant iCloud », dans le but de prouver qu'ils sont en possession de photos compromettantes.

Brian Hamade, alias BluntMastermind, tente ensuite de monnayer sur Reddit les clichés, au prix de 100$ l'image. Ce dernier nie cependant être à l'origine de la fuite, se « contentant » de receler les photos. Le 31 août, les photos commencent à apparaître sur 4chan, sorte de forum où l'on poste des images de manière anonyme, provoquant un emballement qui conduit à la mise en ligne de photos d'une centaine de célébrités, certaines assurant d'ailleurs que les images sont des faux (d'autres, comme Jennifer Lawrence, Kirsten Dunst ou Mary E. Winstead, ont reconnu l'authenticité des clichés qui les concernent). Pire encore, plusieurs célébrités apparaissant sur ces photos volées étaient encore mineures au moment des faits : ceux qui les partagent peuvent potentiellement être accusés de trafic d'images pédophiles.

Si les victimes ont obtenu de Twitter le retrait systématique des images partagées, il n'en reste pas moins qu'elles demeurent disponibles au téléchargement pour qui cherche un peu. Mais au delà de la diffusion répréhensible d'images à caractère privé, se nichent plusieurs enjeux au moins aussi importants : le traitement des femmes sur internet, le harcèlement en ligne, le droit à la confidentialité des données, la sécurité sur internet, sans oublier tout simplement la sécurité des personnes — les photos sont en en effet susceptible de contenir des métadonnées de localisation.

Si l'on ne peut décemment aborder tous ces sujets ici, on peut en revanche revenir sur le nœud central du dossier par lequel le scandale est arrivé.

Apple a-t-elle entrouvert la porte de son nuage ?

Le communiqué diffusé par Apple au terme de 40 heures d'enquête est clair : « Nous avons découvert que les données de certains comptes de célébrités ont été compromises par une attaque très ciblée sur les identifiants, mots de passe et questions de sécurité ». Plus loin, le constructeur précise qu' « aucun des cas que nous avons étudiés n'a résulté d'une violation d'un système d'Apple, y compris iCloud ou Localiser mon iPhone ». L'enquête se poursuit, tandis que le FBI mène, en lien avec Apple, ses propres investigations.

Comment les identifiants et mots de passe des célébrités ont-il pu être subtilisés ? La mise en œuvre de techniques d'ingénierie sociale peut aider : cette pratique de manipulation utilise les failles humaines afin de récolter des données confidentielles. Obtenir l'adresse courriel d'une vedette est relativement aisé pour celui qui veut bien fouiller sur les réseaux sociaux. Répondre aux questions de sécurité peut s'avérer assez simple pour celui qui connait bien la victime — la vie privée de ces personnalités s'étale généreusement dans la presse à potins.

En ce qui concerne le mot de passe, les pirates ont sans doute utilisé iBrute, un script Python disponible sur GitHub qui exploite une faiblesse du service Localiser mon iPhone. Ce bout de code essaie des milliers de combinaisons jusqu'à trouver le bon mot de passe (lire : Fuite de photos de stars nues : la faille liée à Localiser mon iPhone comblée). Une opération rendue d'autant plus facile si les célébrités usent de mots de passe faibles, comme de nombreux internautes et utilisateurs de services en ligne.

Si Apple bloque les tentatives d'authentification à un compte iCloud après cinq essais infructueux, une vulnérabilité dans l'API Localiser mon iPhone a permis de contourner cette protection. Sur la page GitHub d'iBrute, on a pu lire qu'Apple « venait de corriger la faille »… ce que le constructeur n'a pas confirmé. En revanche, il assure qu'aucune violation d'un de ses services n'est en cause.

Une fois en possession de ces informations obtenues par ingénierie sociale et force brute, les pirates ont pu avoir accès aux données et documents stockés sur le nuage iCloud des victimes. Mieux encore : les mots de passe utilisés pour protéger l'accès au compte iCloud ont sans doute permis de subtiliser des informations présentes sur d'autres services en ligne comme Dropbox. Les personnalités ont pu attribuer des mots de passe identiques à d'autres comptes internet, comme cela arrive trop souvent chez le commun des mortels.

iCloud, open-bar ?

En plus de l'accès aux comptes iCloud et à d'autres casiers numériques en ligne (plusieurs des photos de célébrités ont été prises avec des terminaux Android ou BlackBerry), les pirates ont sans doute utilisé un logiciel normalement destiné à des agences gouvernementales, comme l'écrit Wired. Elcomsoft Phone Password Breaker (EPPB), dont l'usage est l'objet de discussions sur Anon-IB, permet de télécharger les sauvegardes iCloud de n'importe quel utilisateur d'iPhone, pourvu qu'on possède ses identifiant et mot de passe. EPPB offre un accès à bien plus de données, d'informations, de photos et de vidéos des victimes qu'un simple sésame vers le compte iCloud en ligne. L'analyse des métadonnées des photos volées de Kate Upton montrent d'ailleurs qu'elles ont été subtilisées en utilisant iBrute et EPPB.

EPPB est le fruit d'un développement reposant sur l'ingénierie inverse. Les programmeurs de l'éditeur russe Elcomsoft n'ont pas utilisé de porte dérobée dans le code d'iOS, mais ils ont observé comment fonctionnait le protocole mis au point par Apple pour faire communiquer iCloud avec les serveurs du constructeur. La Pomme n'a pas collaboré avec Elcomsoft, qui a pignon sur rue et dont l'activité est tout à fait légale, contrairement à l'utilisation faite de son logiciel. Mais Apple pourrait faire en sorte qu'il soit plus difficile de mettre à profit les techniques d'ingénierie inverse sur ses technologies.

Si on peut toutefois difficilement estimer qu'Apple se rend complice d'un acte frauduleux, le constructeur a sans aucun doute la responsabilité de mieux sécuriser l'accès aux données stockées dans son nuage. Toujours dans son communiqué, Cupertino explique que les utilisateurs d'iCloud doivent mettre en place des mots de passe forts et activer l'authentification en deux étapes, un service qui mériterait une réelle mise en avant auprès du grand public, plutôt que de se limiter à une note obscure sur le site d'assistance. Seulement voilà, même si ces célébrités avaient utilisé ce système d'identification (et c'est sans doute le cas de plusieurs d'entre elles), ça n'aurait pas été suffisant.

En effet, ce système, qui consiste à recevoir un code sur un terminal de confiance (son iPhone, typiquement), ne couvre pas tous les services d'iCloud. Seuls sont protégés la gestion du compte iCloud (changement de mot de passe, par exemple), la possibilité de télécharger du contenu provenant des boutiques d'Apple sur un nouvel appareil iOS, ainsi que de permettre les communications entre l'utilisateur et le support d'Apple.

La restauration d'un terminal iOS à partir d'une sauvegarde iCloud ne nécessite pas le code de vérification fourni par le système d'authentification en deux étapes. L'utilisation d'un outil comme EPPB en est donc d'autant plus facile qu'il suffit aux pirates d'avoir sous la main l'identifiant et le mot de passe de leurs victimes.

Le logiciel était toujours utilisé ce mardi pour voler des photos compromettantes, mais aussi toutes sortes d'informations (courriels, historique d'appels, etc.) qui peuvent servir pour faire chanter les victimes. En ce qui concerne l'affaire qui nous occupe, plusieurs des clichés volés proviennent sans aucune doute des Flux de photos des célébrités, un service qui n'est pas non plus protégé par le système d'authentification en deux étapes. Apple, qui assure que la sécurité des données privées de ses utilisateurs est de « la plus haute importance », pourrait effectivement renforcer cette sécurité en étendant le principe de l'identification à deux étapes aux sauvegardes iCloud et au Flux de photos.

La récolte de ces images a, comme on le voit, nécessité un long travail qui peut difficilement se limiter à un pirate. Ces fuites sont visiblement le fruit de plusieurs mois de labeur crapoteux à fouiller dans des poubelles virtuelles dont certaines des clés ont sans doute été en possession d'Apple.

Si le Mac mini n'a pas été renouvellé depuis un temps record — la dernière mise à jour date d'octobre 2012 —, c'est peut-être pour une bonne raison. D'après une source de MacBidouille, Apple a des prototypes entièrement fonctionnels de Mac mini sous architecture ARM. Il y aurait une configuration avec un processeur quatre cœurs et une autre avec huit cœurs. Les deux versions seraient dotées de 128 Go de mémoire flash et leur RAM serait soudée.

Selon MacBidouille, dont la fiabilité est variable, la commercialisation de ces Mac mini ARM pourrait intervenir rapidement, ce qui laisse à penser qu'il s'agit d'une question de mois. Le fait que ces machines fonctionnent apparemment avec une version ARM de Yosemite va d'ailleurs dans ce sens. Le lancement de ces Mac mini ne serait plus qu'une question commerciale.

La situation dans laquelle se trouve le Mac mini rappelle celle du Mac Pro. La tour d'Apple n'avait pas évolué pendant de longs mois pour mieux revenir sous une forme totalement nouvelle.

Ce changement d'architecture pour le Mac mini pourrait être synonyme de refonte plus globale. On peut imaginer un Mac mini encore plus compact et sans ventilateur (lire : Quelles pistes pour faire évoluer le Mac mini ?).

Le passage à une nouvelle architecture soulève évidemment de nombreuses questions. Quid de la compatibilité des applications existantes ? Les performances seront-elles au rendez-vous ? En passant à ARM, Apple pourrait s'assurer en tout cas un contrôle quasiment intégral sur l'évolution de ses ordinateurs, comme elle le fait avec l'iPhone et l'iPad en concevant ses SoC Ax.

C'est reparti pour un tour dans l'affaire du cartel de l'embauche. Les négociations ont repris entre les plaignants et les entreprises incriminées, informe Reuters.

Rappel des faits : pendant plusieurs années à partir de 2005, Apple, Google, Intel et Adobe se sont entendus afin de ne pas débaucher chez les uns et les autres. Attaquées par 64 000 employés (regroupés dans un recours collectif) qui ont estimé que leur carrière avait souffert de cette entente secrète, les entreprises sont parvenues à trouver un accord à l'amiable au printemps qui consistait en un dédommagement de 324 millions de dollars.

Mais la juge en charge du dossier a rejeté il y a quelques semaines cet accord, estimant le montant de l'arrangement trop faible, « sous la limite du raisonnable ». Les plaignants réclamaient au début 3 milliards de dollars, bien loin en effet des 324 millions de dollars de l'accord à l'amiable obtenu sur le fil.

Les deux parties sont donc de nouveau à la table des négociations et ont demandé à Lucy Koh de fixer une nouvelle date pour le jugement. La juge avait indiqué qu'elle souhaitait que l'accord se monte au moins à 380 millions de dollars.

Si vous recherchez un portable pas cher, Apple propose sur le refurb des MacBook Air 11” à partir de 749 €. Il s’agit de la génération actuelle. Le premier modèle embarque 4 Go de RAM et 128 Go de SSD. Pour 100 € de plus, vous avez le droit à 8 Go de RAM.

Pour ceux qui cherchent un MacBook Pro Classique, c’est à dire avec un lecteur SuperDrive et un disque dur, on rappelle que la marque à la pomme propose depuis quelque temps un MacBook Pro 15” à 1109 €.

Également en vente sur le refurb :

• des iMac 21” à partir de 1229 €
• des iMac 27” à partir de 1439 €
• des bornes Apple à partir de 79 €
• des iPad à partir de 339 €

Si vous ne trouvez pas votre bonheur, pensez à faire un tour sur notre service de petites annonces iOccasion.

Asus est l'un des premiers constructeurs de PC à dévoiler un ordinateur portable — classé dans la catégorie des ultrabooks — équipé d'un processeur Broadwell Core M… soit le même type de moteur qu'Apple pourrait utiliser pour son futur MacBook Air de 12 pouces, celui qui devrait se montrer encore plus fin et débarrassé de son ventilateur (lire : Broadwell Core M : le processeur idéal pour un futur MacBook Air 12 pouces). Si, question design, le Zenbook UX305 ne partage qu'un vague air de famille avec l'ultra-portable du constructeur de Cupertino, cet ordinateur est le brouillon de ce à quoi pourrait ressembler la prochaine génération de MacBook Air, attendue en fin d'année.

En dehors de son processeur, l'UX305 se distingue par un écran de 13,3 pouces d'une définition de 3 200 x 1 800, soit une résolution de 276 pixels par pouce (pour rappel, le MacBook Pro Retina de 13 pouces affiche 227 ppp). Pour alimenter une telle dalle, il faut bien compter sur un processeur puissant et le petit dernier d'Intel semble tout à fait apte. Le site Mobile Geeks a eu l'occasion de le prendre en main durant l'IFA :

Les caractéristiques techniques connues de ce modèle ne précisent pas si un ventilateur est présent au milieu des composants; néanmoins, on sait que ce Zenbook embarque de 128 à 256 Go de stockage, 3 ports USB, une sortie HDMI, un lecteur de cartes SD, une sortie jack, ainsi que le support du Wi-Fi 802.11AC. Le châssis de la partie basse mesure 12,3 mm d'épaisseur pour un poids de 1,2 kg. La batterie est capable de tenir une dizaine d'heures malgré un écran que l'on devine très gourmand.

Asus ne va pas jusqu'à annoncer de tarif; la disponibilité est prévue pour le quatrième trimestre, et pour cause : les processeurs Broadwell M ne seront réellement disponibles en volumes qu'en fin d'année.

L'un des (micro) événements de la rentrée est la distribution à travers le monde du dernier catalogue IKEA. La marque a pour l'occasion trouvé inspiration du coté d'Apple avec une parodie de la vidéo de lancement du premier iPad et de son emballage.

Le "bookbook", tel qu'il est surnommé par la filiale d'IKEA à Singapour, est toutefois bien supérieur à une tablette tactile : il est toujours chargé ; les images claquent à l'oeil ; il n'y a aucun ralentissement dans le passage d'une page à l'autre ; il est gratuit ; il est utilisable par plusieurs personnes, etc.

Un catalogue qui est plus rempli de numérique qu'on ne le pense. Ainsi que l'expliquait un article à propos de la masse incroyable de visuels qui ne sont en aucun cas des photographies, comme on pourrait le penser, mais des images 100% 3D (pour les détails, lire Compétence Mac et Avosmacs en kiosques, IKEA dans les boîtes & Building 3D with Ikea). De quoi faire frissonner certains photographes professionnels.

À côté de celle de Firefox ou de Chrome, l'actualité d'Opera est certes moins riche et mouvementée. Mais le navigateur web poursuit son bonhomme de chemin et est désormais disponible dans sa version 24. La principale nouveauté du navigateur norvégien est un aperçu géant d'un onglet. L'idée est bonne, mais sa réalisation occulte pratiquement complètement le site web consulté par l'internaute : l'espace dévolu à l'aperçu occupe le centre de la fenêtre du logiciel.

Cette version 24 est également l'occasion pour Opera d'annoncer que son catalogue d'extensions avait dépassé les 1 000 références. Le choix d'utiliser le moteur Chromium l'an dernier a certes permis d'améliorer la compatibilité des sites, mais il a fallu à Opera rebâtir de zéro son écosystème d'extensions.

Un lourd travail qui en est passé par un outil de conversion et beaucoup d'aide offerte aux développeurs; tout cela a été payant, puisque les utilisateurs du navigateur pourront installer toutes sortes d'add-on qui amélioreront leur expérience de navigation : Turn Off The Lights permet de consulter une vidéo en occultant le « bruit » tout autour. Translate est comme son nom l'indique un outil de traduction des pages. Disconnect permet de savoir quels sont les sites qui retracent la navigation de l'internaute, et les bloquer au besoin… Tout cela est à consulter à cette adresse.