Celebgate : un autre homme plaide coupable dans le piratage de photos de vedettes
Une seconde personne impliquée dans le « Celebgate », cette fuite de photos intimes de vedettes en 2014, a plaidé coupable, annonce le Département de la Justice des États-Unis. Edward Majerczyk, 28 ans, avait utilisé la technique de l'hameçonnage (ou phishing), qui consiste à déguiser un site malicieux en un site coutumier, pour voler les données de connexion de plus de 300 victimes et accéder ainsi à leur comptes iCloud et Gmail. Il encourt jusqu'à cinq ans de prison. En mars dernier, un autre homme a plaidé coupable pour la même affaire.
Bien qu'iCloud n'ait pas été piraté en tant que tel — l'hameçonnage est une technique d'ingénierie sociale qui exploite la « faille humaine » —, Apple avait annoncé un renforcement de la sécurité de ses services en ligne à la suite de cet épisode. Cela s'est notamment traduit par une authentification à deux facteurs couvrant plus de services et s'intégrant mieux aux systèmes depuis iOS 9 et OS X El Capitan.
iCloud pas piraté, mais pouvoir essayer 700 milliard de mots de passe sans qu'à un moment ça ne désactive le compte ou le verrouille, c'était pas tout à fait normal non plus, Apple.
Ce n'est pas ce qu'il s'est passé.
Les mots de passe ont été dérobés via un site se faisant passer pour un site officiel : la connexion a fonctionné du 1er coup.
La seule erreur de Apple est de ne pas avoir intégré l'auth à 2 facteurs dès la sortie de l'iPhone.
Oui. À mon avis, en securité, on appèlerai cela simplement une faille.
Non, une faille est un moyen d'accés qui permet d'outrepasser la difficulter d'accés sans la clé: les techniques de force brute ne sont pas des failles, par contre elles peuvent mettre en evidence un niveau de securité trop bas si le temps moyen necessaire pour acceder au compte sans la cle n'est pas dissuasif (dizaine, voire centaine d'année en general)
Ceci dit, si comme dans le cas d'iCloud et de la majorité des cloud seule la porte d'entree est protegeé, mais que les données elles ne sont pas chiffrées, on est dans le cas d'une faille de securité majeure: on sait pertinament qu'un verrou va finir par ceder et si les données sont stockées en clair, alors on est proche du zero en terme de securité!
Mais bon c'est pas forcement la faute d'Apple et des autres encloudeurs, car les contraintes legales sur l'accés aux données en ligne sont si enormes (Patriot Act) qu'il est souvent moins couteux de tout laisser en clair. Faut juste que les clients le sachent!
@C1rc3@0rc :
Ben non... à partir du moment l'identifiant est correct, tu es connecté et les données sont déchiffrées et accessibles/disponibles à l'utilisateur.
Ou alors il y a un truc que je ne comprend pas dans ton poste.
@XiliX :
Je précise quand même que les données sont chiffrées jusqu'à ce que tu t'identifies
@XiliX
Je suis pas certain de comprendre ce que tu veux dire, mais il y a 2 choses a considerer:
- l'accés au compte dans le cloud
- l'accés aux données stockées et transitant par le cloud
Il y a deux cas:
1) les données sont stockées chiffrées
2) les données sont stockées en clair.
Dans le 1er cas, le fait d'accéder au compte ne remet pas en cause la securité des données: elles sont chiffrées et pour y accéder il faut les déchiffrer. Il s'agit donc de faire une différence entre contenant et contenu et de sécuriser les 2 séparément, les deux étages s'additionnant.
Dans le second cas on considère que le le verrou d'accès au compte est suffisant et toutes les données sont donc accessibles en clair.
Reste qu'il y a un 3eme cas: le compte n'est pas chiffré et seules les données sont chiffrées.
En fait il n'y a aucune raison valable pour vouloir stocker les données sur un cloud de manière non chiffrée. Pourtant c'est le cas de la majorité.
Dans l'ordre, le meilleur niveau de securité c'est le cas 1, suivi du cas 3. Le second cas est lui le plus médiocre.
@c1crTruc
C'est pas très clair ton explication!
Les donnees sont bien stockées cryptées, mais dès lors que tu te connectes au compte avec le bon mot de passe, elles sont décryptées pour être affichées de façon lisible!
Il suffit donc bien d'accéder au compte pour accéder aux donnees! Et heureusement, sinon comment ferait on au quotidien pour accéder à ses propres donnees, si on n'avait accès qu'à des informations cryptées???
Tu utilises les données sur un Mac ou un iDevice, c'est sur cet appareil que les données ont besoin d'être déchiffrées et c'est sur cet appareil que doit résider le systeme de chiffrement.
Sur le cloud ne devrait se trouver que des fichiers chiffrés a mort qui ne sont identifiés que par des meta-données nécessaires a la sychro.
Mais la réalité c'est que les données sur le cloud ne sont pas chiffrées: preuve en est des photos du celebgate car si les données avaient été chiffrées, le gugus aurait récupéré des fichiers cryptés jusqu'a la moelle qu'il n'aurait jamais pu utiliser!
"si les données avaient été chiffrées, le gugus aurait récupéré des fichiers cryptés jusqu'a la moelle qu'il n'aurait jamais pu utiliser!"
Non ! Il aurait récupéré des fichiers déchiffrés, puisqu'il avait les login/passwords.
Par contre avec la double auth, que les fichiers soient chiffrés ou pas, il aurait été bloqué direct ( sauf à voler le smartphone de la victime )
@C1rcBidule
Et comment tu fais sur iCloud.com ou sur Dropbox.com pour utiliser tes donnees si tout est crypté???
Et sur FaceBook.com?
Ou sur ton webmail?
Sur le site en ligne de ta banque?
Même si les données ne sont pas décodées sur les serveurs distants mais uniquement sur l'ordinateur ou le "device" ayant servi à se connecter au compte, c'est le mot de passe d'accès au compte qui en permet l'affichage en clair sur l'appareil avec lequel on se connecte!
Donc quel que soit le niveau de cryptage, dès que tu as le mot de passe et que tu te connectes au compte, les données te sont livrées en clair (et heureusement!!!)
ce qu'il faut c'est donc bien de vérifier l'identité de celui qui semble posséder la clé d'entrée, avant de lui ouvrir la porte, et c'est là où l'authentification en 2 étapes trouve son utilité.
Je crois qu'il n'a pas compris que les coupables avaient dérobé les mots de passe des victimes.
Je crains que ce soit pire que ca et qu'il veuille un système par lequel une fois le mot de passe saisi on ne tombe que sur des fichiers cryptés si on n'est pas le propriétaire légitime du compte (par quel miracle faire le tri entre les bons et les méchants?... Mystère!)