Fermer le menu

sécurité

Google minimise une fuite d'identifiants et de mots de passe

| 11/09/2014 | 12:30 |  

Un fichier contenant 5 millions d'identifiants et mots de passe de comptes Gmail a été publié hier sur un forum russe. Google a réagi très promptement en déclarant qu'il n'y avait eu aucune faille de sécurité dans ses systèmes, et que cette grande liste avait pu être constitué en utilisant des techniques périphériques comme l'hameçonnage (phishing) ou des logiciels malveillants installés sur les appareils des utilisateurs.

Google relativise de plus l'impact de cette fuite en indiquant que seulement moins de 2 % des combinaisons identifiants plus mots de passe pouvaient fonctionner, et qu'une bonne partie des tentatives de connexions malveillantes a été bloquée par son mécanisme anti-hijacking.

Cette fuite sans grande gravité est l'occasion pour Google de rappeler les systèmes mis en place pour contrer les tentatives de piratage. Si l'entreprise détecte une activité « inhabituelle », elle empêche les essais de connexion depuis des appareils et des lieux anormaux. Une page permet de faire le point sur les options de sécurité de son compte Google.

À la suite de la fuite des photos de stars, Apple semble enfin prendre au sérieux la sécurité des comptes iCloud. Tim Cook a promis des améliorations et Apple notifie maintenant par email les connexions web à iCloud. Un premier pas qui devra être suivi d'autres pour qu'iCloud soit vraiment sécurisé — on attend notamment la vérification en deux étapes pour l'ensemble du service.

> Accéder aux commentaires

Les bornes AirPort pas touchées par la vulnérabilité du WPS

| 08/09/2014 | 17:45 |  

Un chercheur en sécurité a récemment révélé une nouvelle vulnérabilité dans le WPS, un protocole qui simplifie la connexion d'un appareil à un réseau Wi-Fi, permettant de pirater un routeur très rapidement. Des routeurs équipés de puces Broadcom, le fournisseur des bornes AirPort, sont affectés, mais les modèles précis ne sont pas connus.

Le journal du lapin note que les routeurs d'Apple ne sont pas concernés, car le WPS n'est tout simplement pas totalement pris en charge. Les bornes AirPort ne supportent que la partie du WPS consacrée à la gestion des imprimantes, ce qui n'est pas suffisant pour mener la nouvelle attaque. OS X ne prenant pas en charge le WPS, il n'y a pas de risque non plus pour les Mac.

> Accéder aux commentaires

Sécurité iCloud : Apple prévient par courriel

| 08/09/2014 | 17:03 |  

Apple n'a pas mis de temps pour mettre en musique les déclarations de Tim Cook datées de vendredi dernier. Le patron d'Apple annonçait un renforcement de la sécurité d'iCloud suite au « CelebGate », cette fuite de photos dénudées de célébrités. Dans les faits, il s'agit moins de muscler les protections autour du bouquet de services web, que d'avertir les utilisateurs d'un accès à leur compte iCloud.

Le site Letem světem Applem partage un courriel reçu par un de ses lecteurs, l'alertant que son identifiant avait été utilisé pour accéder à son compte iCloud via un navigateur web - y compris si ce butineur a déjà servi pour se connecter à iCloud, mais ce nouveau mécanisme ne devrait fonctionner qu'une seule fois dans ce cas précis.

Apple enverra également des messages d'alerte en cas de modification du mot de passe ou de tentative de restauration des données sur un nouvel appareil (ce qui est une des raisons qui a permis la divulgation de ces images). Le constructeur prévenait déjà en cas d'accès à un compte iCloud ou un changement de mot de passe, mais seulement depuis un terminal iOS inconnu. Ces alertes sont bienvenues, mais elles n'ont aucun caractère de protection : il s'agit simplement de prévenir l'utilisateur et, le cas échéant, de lui conseiller de changer son mot de passe.

Apple devra aussi promouvoir plus efficacement le système d'authentification en deux étapes, dont l'explication n'est actuellement visible qu'au fin fond du site d'assistance du constructeur, et l'étendre à des opérations potentiellement sensibles (restauration de sauvegarde iCloud, par exemple).

> Accéder aux commentaires

Tim Cook promet une amélioration de la sécurité d’iCloud

| 05/09/2014 | 06:52 |  

Steve Jobs avait refusé de communiquer de manière franche sur les problèmes de réception de l’iPhone 4 pendant plus d’un mois, laissant enfler la polémique aujourd’hui connue sous le nom d’antennagate. Tim Cook ne compte pas reproduire la même erreur avec le celebgate, cette affaire sordide de fuite de photos très personnelles stockées sur iCloud. Quelques jours après que ses porte-parole ont réagi par voie de communiqué, le CEO d’Apple annonce un renforcement de la sécurité d’iCloud à l’occasion d’une interview au Wall Street Journal.

Tim Cook persiste et signe, iCloud lui-même n’a pas été piraté. Les voleurs ont toutefois réussi à se procurer dans certains cas les mots de passe de leurs victimes, dans d’autres cas la réponse aux questions de sécurité permettant de récupérer ce mot de passe. Le problème n’a jamais été la sécurité des serveurs d’Apple, bien qu'elle soit évidemment importante  ; il réside d'abord et avant tout dans l’absence de garde-fous contre l’ingénierie sociale et de mécanismes permettant de détecter une connexion malveillante.

C’est précisément sur ces points que la firme de Cupertino compte agir : à partir de la mi-septembre, elle alertera les utilisateurs par courrier électronique et notification push en cas de connexion depuis une adresse IP inconnue, de modification du mot de passe iCloud, ou de tentative de restauration des données sur un nouvel appareil. Ce dernier cas est particulièrement important, puisqu’il semble que des outils de restauration en masse des données iCloud aient été utilisés pour récupérer rapidement et discrètement les photos qui circulent depuis quelques jours.

Mais Apple envoyait déjà des courriers électroniques en cas de changement de mot de passe, et ils ne disaient rien d’autre que « le mal est fait ». « Lorsque je prends du recul sur ce qui vient de passer et me demande ce que nous aurions pu faire de plus », admet Tim Cook, « je pense que nous devons être responsables d’une prise de conscience des utilisateurs en matière de sécurité. Ce n’est pas qu’un problème technique. » Cela commencera, assurément, par une promotion de l’authentification en deux facteurs ailleurs que dans une obscure fiche technique — avec iOS 8, elle protégera enfin la connexion à un compte iCloud depuis un appareil iOS.

Apple doit aussi être plus résistante aux mécanismes d’ingénierie sociale, et peut-être abandonner le système antédiluvien et largement inutile des questions « de s...

> Lire la suite et accéder aux commentaires

Fuite de photos de stars : la responsabilité d'Apple est-elle engagée ?

| 04/09/2014 | 16:45 |  

Jennifer Lawrence, Kate Upton, Kirsten Dunst et une dizaine d'autres vedettes font partie des victimes d'un vol à grande échelle de photos dénudées. Réalisés dans un cadre privé, ces clichés n'auraient jamais dû sortir de la sphère intime, et cela a pourtant été le cas.

La nature de ces images volées n'a ici pas beaucoup d'importance, même si cela a participé à leur diffusion virale et à l'énorme buzz qui s'en est suivi — et qui se poursuit d'ailleurs. iCloud est, à tort ou à raison, dans l'œil du cyclone, même si les choses ne sont pas aussi claires qu'elles semblent le paraître. Difficile donc d'en vouloir à certaines des célébrités de s'en prendre directement à Apple et à son bouquet de services web.

L'affaire est d'autant plus importante pour Apple que le constructeur va lancer la nouvelle génération d'iPhone 6, l'iWatch et iOS 8 le 9 septembre, accompagnés de nouveaux services orientés santé qui tireront parti du nuage d'iCloud. Si la sécurité de photos n'est pas assurée, que dire alors du stockage de données aussi confidentielles que celles concernant sa santé (lire : iWatch : bracelet prévenant ou menotte numérique ?) ?

Pris dans la tourmente et pressé de réagir au plus vite, Apple n'a donc pas tardé à communiquer, via un communiqué mis en ligne sur son site web. En substance, la Pomme dédouane iCloud de tout problème de sécurité et en creux, semble mettre en cause les victimes, coupables de n'avoir pas créé de mots de passe forts ni activé l'authentification en deux étapes.

C'est là un cas d'école en matière de communication de crise, et une épreuve pour la cellule relations publiques du constructeur, dont le discours offensif et un rien bravache paraît déconnecté de l'émotion suscitée par ces fuites ; on l'attendait plus sur le registre de la compassion (lire : Comment Apple ne communique pas avec la presse). Car même s'il s'en défend, le constructeur de Cupertino a, sinon une part de responsabilité dans cette affaire complexe, au moins fait preuve d'une certaine légèreté.

Un emballement qui se transforme en scandale

Pour faire le point sur ce dossier baptisé « Celebgate » par la presse américaine, il faut remonter à l'origine de la fuite. Les premières images de stars dénudées ont été mises en ligne le 26 août. Des utilisateurs an...

> Lire la suite et accéder aux commentaires

Fuites de photos : Apple réfute toute faille de sécurité

| 02/09/2014 | 20:50 |  

Apple fait ce soir un point sur son enquête autour d'un supposé hack d'iCloud et du service Find my iPhone. Il en résulte, dans sa déclaration, qu'il n'y a pas de faille de sécurité sur ses serveurs à l'origine de cette affaire.

Après 40 heures d'enquête, nous avons découvert que les données de certains comptes de célébrités ont été compromises par une attaque très ciblée sur les identifiants, mots de passe et questions de sécurité, une pratique devenue beaucoup trop commune sur internet

Plus important encore, le constructeur précise qu'il n'y a pas eu d'exploitation d'une faille technique.

Aucun des cas que nous avons étudiés n'a résulté d'une violation d'un système d'Apple, y compris iCloud ou Localiser mon iPhone. Nous continuons de travailler avec la police pour aider à identifier les criminels impliqués.

Jennifer Lawrence — ici dans Hunger Games — l'une des victimes de cette subtilisation et publication de photos personnelles

En somme, on se dirigerait plutôt vers une affaire d'ingénierie sociale. Apple, ne fait aucune mention d'une faiblesse de son service Localiser mon iPhone face à une attaque par force brute pour tester des mots de passe à la chaîne sur des comptes dont aurait déjà deviné ou obtenu l'identifiant. Un défaut qui avait été discrètement corrigé hier d'après celui qui en avait fait la découverte.

Dans l'explication fournie, la faute de cette subtilisation de photos en revient plutôt à la légèreté de certains mots de passe choisis par leurs utilisateurs et à l'absence d'activation de la fonction de double identification sur les comptes en question. C'est justement dans ce sens qu'Apple enjoint les utilisateurs de se tourner pour renforcer la sécurité entourant leur compte iCloud (fiche technique). Un dispositif qui mériterait d'être mieux mis en avant plutôt que confiné dans une fiche technique hors de portée de la majorité des utilisateurs.

Il avait été aussi dit que des photos avaient été récupérées de comptes Dropbox. Apple n'aborde pas ce volet de l'affaire mais on peut aisément supposer que certaines victimes utilisaient des identifiants et mots de passe communs entre les services. Une pratique pour le coup aussi très courante. Armé d'une bonne information d'identification liée à un service, rien de plus facile pour le malandrin d'aller la tester sur un autre…

Apple a diligenté hier en...

> Lire la suite et accéder aux commentaires

Fuite de photos dénudées : Apple enquête

| 01/09/2014 | 22:26 |  

Depuis ce matin, l'affaire fait grand bruit. Des photos de célébrités nues sont en libre circulation sur internet, suite à l'exploitation d'une faille au sein du service Localiser mon iPhone. Les pirates ont en fait usé de force brute sur les comptes iCloud des victimes, en utilisant un script Python qui teste des milliers de combinaisons avant de trouver le sésame.

L'actrice Jennifer Lawrence fait partie des victimes de ce piratage.

Apple a rapidement comblé la brèche, mais malgré tout le mal est fait : à quelques jours d'un special event où il devrait être question d'un objet « prêt à porter » mesurant et analysant l'activité physique, la sécurité des données revient sur le devant de la scène : qui voudrait laisser à iCloud le soin de stocker des informations aussi précieuses concernant sa santé si la sécurité n'est pas maximale ?

Apple « enquête activement » sur le vol de données qui a eu lieu sur les comptes iCloud des vedettes touchées, assure le constructeur à Re/code. « Nous prenons la vie privée très au sérieux et nous enquêtons sur le sujet », fait savoir Natalie Kerris, porte-parole du groupe. Il est effectivement capital pour Apple de prendre le problème à bras le corps, au moment où la société va sans doute proposer de stocker encore plus de données très personnelles dans son nuage.

Ce piratage aurait été rendu beaucoup plus difficile si Apple faisait une plus grande publicité à son système de vérification en deux étapes, pointent des experts en sécurité. Dans la confusion certaine qui règne encore autour de cette affaire, il semble néanmoins qu'Apple ne soit pas seule en cause : apparemment, des vidéos circulant sur Dropbox auraient aussi été piratées.

> Accéder aux commentaires

Fuite de photos de stars nues : la faille liée à Localiser mon iPhone comblée

| 01/09/2014 | 15:39 |  

Le mystère s'éclaircit autour de la divulgation de photos personnelles et dénudées de célébrités. C'est apparemment une faille dans le service Localiser mon iPhone qui a permis le piratage des comptes iCloud des victimes. Un script en Python publié sur GitHub permettait de réaliser une attaque par force brute sur des comptes iCloud par l'intermédiaire de l'API du service de localisation.

Autrement dit, ce script permettait d'essayer des milliers de combinaisons jusqu'à trouver le bon mot de passe. Si le mot de passe utilisé était très simple, l'opération pouvait être très rapide.

Apple bloque normalement pendant quelques minutes l'authentification à un compte iCloud après cinq essais infructueux, mais l'API de Localiser mon iPhone contenait une faille qui permettait de passer outre cette mesure de protection.

Une fois en possession du mot de passe, la personne malveillante avait accès à l'intégralité du compte iCloud, dont le flux de photos.

Apple a apparemment comblé cette faille il y a quelques dizaines de minutes. « Fini de s'amuser, Apple vient juste de corriger [la faille] », peut-on lire sur la page GitHub du script.

Il n'est toutefois pas certain que toutes les photos divulguées proviennent d'iCloud. Certains dossiers contenant les photos renferment des fichiers propres à Dropbox.

Pour éviter ce genre de déconvenues, outre utiliser un mot de passe fort, il est vivement recommandé d'activer la vérification en deux étapes. Un code de validation est envoyé sur un appareil censé être sûr (son smartphone, typiquement) quand on se connecte à partir d'un terminal ou d'un lieu différent. La vérification en deux étapes est disponible pour les services d'Apple, de Google et de Dropbox, entre autres.

> Accéder aux commentaires

Des routeurs Wi-Fi vulnérables à une attaque ciblant le WPS

| 01/09/2014 | 14:39 |  

Un chercheur en sécurité a mis en lumière une vulnérabilité qui permet de pirater très rapidement certains routeurs Wi-Fi. La découverte de Dominique Bongard, fondateur de la société de sécurité 0xcite, repose sur une mauvaise implémentation du WPS (Wi-Fi Protected Setup), un protocole qui simplifie la connexion d'un appareil à un réseau Wi-Fi.

Le WPS prévoit différentes méthodes de connexion. L'une d'entre elle consiste à appuyer pendant quelques secondes sur un bouton présent sur le routeur. Une autre nécessite de saisir un code PIN à 8 chiffres inscrit sur le matériel.

C'est ce code PIN qui peut poser problème dans certains cas. De précédentes recherches ont montré qu'il fallait tester jusqu'à 11 000 possibilités pour parvenir à cracker le protocole. Dominique Bongard a pour sa part remarqué qu'à cause d'une absence ou d'une faiblesse de génération de nombre aléatoire sur certains modèles, il était possible de calculer le code PIN exact. Ensuite « cela prend une seconde. Bang. C'est fait », explique le chercheur.

Des routeurs qui sont équipés de puce Broadcom et d'une seconde marque qui n'est pas nommée sont touchés. Les modèles exacts ne sont pas connus. Si vous n'utilisez pas le WPS, le plus sage est de le désactiver.

> Accéder aux commentaires

iCloud aurait été hacké pour des photos de stars nues

| 01/09/2014 | 09:16 |  

Dans la nuit de dimanche à lundi, des photos de Jennifer Lawrence nue sont apparues sur la toile. L’actrice devenue célèbre pour sa participation à la saga Hunger Games n’est pas la seule concernée : plusieurs stars ont été ainsi mises à nu et les responsables ont publié une liste avec une vingtaine de noms. À chaque fois, les responsables auraient profité d’une faille liée à iCloud pour accéder à ces images.

Le conditionnel reste de rigueur toutefois. En effet, les photos sorties dans la nuit ne sont pas toutes de vraies images des stars. Si celles de Jennifer Lawrence ou de l’actrice Mary Elizabeth Winstead sont vraiment des photos personnelles, d’autres sont au contraires fausses, comme celles de l’actrice, chanteuse et danseuse Victoria Justice. Plus troublant encore, certaines photos auraient été effacées depuis longtemps des iPhone concernés.

Difficile ainsi de démêler le vrai du faux à ce stade, mais il faudra savoir si la sécurité des comptes iCloud est vraiment compromise. Les pirates ont-ils simplement réussi à deviner le mot de passe des stars ? Ou ont-ils pu accéder aux serveurs d’iCloud pour piocher soit dans le flux de photo, soit dans les sauvegardes des appareils iOS ?

On n’en sait pas plus pour l’heure, mais étant donnée l’ampleur des évènements quelques heures seulement après l’apparition des photos, on se doute qu’Apple devra répondre, d’une manière ou d’une autre.

> Accéder aux commentaires

Pages