Blocage d’identifiants Apple : une brèche chez Spark ?
Des utilisateurs ont remonté des problèmes de sécurité concernant leurs identifiants Apple. Sur Reddit, on peut lire plusieurs témoignages selon lesquels ces comptes, qui permettent — entre autres — de s’identifier pour acheter du contenu sur l’App Store, ont été verrouillés pour des raisons de sécurité. Il reste heureusement possible de les récupérer en restaurant le mot de passe.
On ignore encore la raison du problème, mais sur ce même fil, on spécule sur le fait qu’il puisse y avoir une brèche dans Spark. Le client e-mail est en effet le point commun de la plupart des utilisateurs dont les comptes ont été bloqués. Interrogé sur Twitter, l’éditeur indique qu’il travaille avec Apple sur le sujet et surtout, il précise ne pas avoir repéré de faille.
« Nous enquêtons sur les identifiants Apple qui sont bloqués pour certains de nos utilisateurs iCloud. Il n’y a pas de brèche ou de fuite de données, d’après notre enquête », peut-on lire. « Le nouveau serveur AWS [Amazon Web Services] a pu déclencher l’algorithme de sécurité d’iCloud. Nous travaillons avec Apple pour avoir plus de détails ».
L’éditeur explique avoir mis en place ces nouveaux serveurs afin de préparer le terrain à la version Mac. Il réitère enfin qu’il n’y a aucune vulnérabilité.
Si vous rencontrez ce problème, rendez-vous sur la page de gestion de l’identifiant Apple, où vous pourrez changer facilement le mot de passe de votre compte.
Edit — Ajout des deux nouveaux tweets de l’éditeur.
- Notre nouveau livre, Protégez votre vie numérique
Vous êtes le maillon faible, au revoir !
Comme je le disais même si aujourd'hui rien n'est encore certain, la faille vient d'ailleurs que chez Apple !
Les comptes hackés sont tous des comptes ayant une sécurité faible.
Validation en deux étapes j'vous dis ! ;-)
@Hinamori : Il faudrait attendre les confirmations, mais même si l'article dit vrai : non. Il y a plusieurs situations pour lesquels un compte iCloud peut se bloquer pour des raisons de sécurité, certaines bien avant que l'authentification à deux facteurs n'entre en jeu (la 2FA sous-entend qu'on a le mot de passe, justement).
Je n'ai pas Spark et ma femme non plus et nous avons été obligé de modifier nos mots de passe iCloud/AppleStore ces derniers jours.
C'est pénible et ça nous force à écrire ces mots de passe , ce que je faisais pas avant. Vivement la reconnaissance par biométrie.
Avec la reconnaissance par biométrie, le jour où tes informations d'accès sont compromises, tu ne peux pas en changer...
@Hinamori :
Il n'y a eu aucun hack... Simplement: les comptes sont verrouiller de manière préventive
J'ai été victime aussi, j'ai dû changer mon mot de passe. C'est chiant parce que de toute façon j'ai la 2FA activée et que Spark utilise un mot de passe spécifique d'application.
Effectivement j'ai aussi dû changer mon mot de passe. Je prends tellement de précautions que je ne suis pas vraiment inquiet, mais c'est toujours bon de savoir ce qui se passe.
Au passage, en créant le nouveau mot de passe, j'ai découvert qu'il ne peut pas faire plus de 32 caractères. J'y étais allé un peu fort avec 1Password…
J'ai constater moi aussi que mon compte iCloud me demandait le changement de mot de passe ce matin.
Spark est aussi installé chez moi.
Compte iTunes et compte iCloud séparé : V2E pour le premier, V2F pour le second.
Merci 1password aussi pour la rapidité et la facilité à générer et mémoriser des mdl.
Même souci, et j'utilise Spark également… ça sent pas bon.
Même problème. Fait ch*er devoir changer de mot de passe sur tous mes appareils... :€
Pareil. Moi aussi j'avais Spark
Même chose pour moi avec Spark comme client mail principal !
Ce n'est donc pas pour ceux qui ont simplement téléchargé Spark. Mais ceux qui utilisent Spark pour lire leur e-mails iCloud ?
Fin février 2016, j'ai testé Spark et j'ai été surpris de recevoir des newsletters de leur part sans avoir renseigné mon adresse mail.
Le seul endroit où mon adresse mail a été encodée, c'est lors de la création du compte dans les préférences de Spark.
Suite à cela, j'ai envoyé le mail suivant à Spark :
How is it possible that I receive a welcome mail from you after having
installed Spark on my iPhone without having given you my email address?
I have just mentioned my email account ... no more
Beautiful product but I'm very disappointed to have receiving a mail
without any Readdle account creation on your site.
Fin mars, j'ai eu une réponse de Spark :
Let me inform you that Spark’s server needs to check and send emails from your email account for such functions as push notifications and sending email from Apple Watch to work. And to achieve this, we need to store your email account’s access token. For services with OAuth authentication, like Gmail or Outlook, it’s special application specific token that you can revoke at any moment from your email account in the web. Given a choice, we would prefer to not have access to your login and password information, because it’s a huge responsibility to store them safely. However, since many email services still haven’t implemented OAuth, we have to.
To make everything as safe as possible, we are not using our own servers but rely on the most advanced and secure solution available in the industry – Amazon AWS. This is where almost any well known tech company – Dropbox and AirBnB, for example – is storing and processing their users’ data. All connections to our servers are protected with TLS. The Amazon AWS databases are encrypted, and to make things even more secure we additionally encrypt your password in the database. It makes it totally unreadable by a human being.
Je n'utilise plus Spark ...
"To make everything as safe as possible, we are not using our own servers"
Lire "on est tellement pauvre qu'on a pas les moyens de se payer nos propres vrais serveurs".
"but rely on the most advanced and secure solution available in the industry – Amazon AWS. This is where almost any well known tech company – Dropbox and AirBnB, for example – is storing and processing their users’ data."
Lire "quand ton compte se fera hacker au moins on pourra non seulement dire que c'est pas de notre faute mais de Amazon mais en plus on pourra se défendre en disant que ca arrive à tout le monde : Dropbox, AirBnB...."
"All connections to our servers are protected with TLS." Ouais... Et je vois pas en quoi c'est extraordinaire au point de le préciser ??? C'est la normalité, le B.A-BA des communications clients/serveurs.
"The Amazon AWS databases are encrypted" Même chose.... En quoi ca rassure de préciser que la base de donnée du serveur est encryptée ? Bien sur qu'elle est encryptée voyons, elle contient toutes les données persos !
"and to make things even more secure we additionally encrypt your password in the database" Ouf ! Ils encryptent nos mots de passe !! OUF !! Non mais sérieux les mecs.... Vous êtes en train de nous dire que on devrait être rassurés parce que vous stockez pas les mots de passe en clair dans un fichier .txt par exemple. Si seulement il suffisait de cela pour mettre les hackers au chômage !! :-D Encore un truc qui est tellement le B.A-BA des choses que ca ne devrait même pas être précisé comme étant une mesure exceptionnelle de sécurité.
"It makes it totally unreadable by a human being." Ah .... Nous voila rassurés dites donc.... On va pouvoir dormir tranquille.... C'est seulement les hackers qui utilisent des logiciels spécialisés qui vont pouvoir lire les données ;-)
Je ne suis pas le seul à tirer les mêmes conclusions ...
Dommage, c'est un soft esthétique.
Lors d'un téléchargement hier, Apple m'a demandé de valider mon identifiant par l'identification en deux étapes : j'ai dû saisir un code reçu par SMS.
Cela ne m'avait jamais été demandé.
Je n'ai pas et n'ai jamais utilisé Spark...
Idem essayé Spark une fois il y a 3 mois , reception d'une newsletter dans la foulée et désinstallation immédiate
RIP
Pour ceux qui ont du temps à perdre et de la curiosité à éclairer coté compte mail/respect vie privée voici un site qui est assez intéressant : https://easycrypt.co
(Je n'ai aucune affiliation avec le site en question)
Merci pour le lien, toujours utile :-)
En effet j'ai eu ça et j'utilise Spark, ça m'est d'ailleurs arrivé trois ou quatre fois depuis que j'ai installée l'application il y a un an
Je l'ai essayé aussi et pas adopté. Et j'utilise toujours un mail d'essai ou poubelle.
Dans le genre je préfère Morning Mail ou Unibox.
J'utilise Spark et j'en suis pleinement satisfait depuis plusieurs mois.
Il y a quelques semaines j'ai effectivement été obligé de réinitialiser mon MDP iCloud, et ce sans raison évidente.
J'étais loin d'imaginer un lien avec Spark.
Néanmoins, le client mail d'iOS est tellement pauvre par rapport à Spark, pour l'instant je ne change pas de crémerie...
J'oubliais de préciser qu'il en va de même pour son frangin Calendars 5 qui remplace très avantageusement le penible calendrier d'iOS.
Idem, l'app est vraiment de qualité, et ça ne se résume pas qu'à sa belle gueule. J'ai voulu repasser sous mail ce matin et puis 5 minutes plus tard, j'abandonnais déjà l'idée.
Salut à tous !
Perso j'ai telechargé Spark puis direct supprimé a la lecture de cet article et surtout car elle avait un delais de reception des emails atroces.
Bref ma question est celle ci :
Moi qui utilise tous les logiciels readdle (documents 5, calendar 5, pdf expert)
pensez vous a des failles de ce côté là aussi ? Ou c'est juste une identification exclusive a Spark ? :)
Lors d'un téléchargement hier, Apple m'a demandé de valider mon identifiant par l'identification en deux étapes : j'ai dû saisir un code reçu par SMS.
Cela ne m'avait jamais été demandé.
Je n'ai pas et n'ai jamais utilisé Spark...
Après avoir lu un article un peu flippant sur ce site il y a quelques jours, j'ai changé mon mot de passe et activé la validation en deux étapes... Je regrette... Je ne peux plus utiliser Message sur mon Mac... J'ai désactivé cette validation en deux étapes, je me suis reconnecté à tous les machins iCloud et... pareil. Je ne peux plus envoyer de sms, mms depuis mon ordi. Ça fonctionnait avant, je trouvais ça super... Je suis déçu.
(Mac sous Yosemite, iPhone 6s sous iOS 9.3.2...)
Normalement l'un empêche pas l'autre..
As tu un message d'erreur ?