Sécurité : Apple a donné trop facilement accès à un compte iCloud
L'affaire a fait grand bruit ce week-end : vendredi, Mat Honan, journaliste chez Wired a perdu les données personnelles sur son iPhone, iPad et son Mac. En cause, un accès frauduleux à son compte iCloud qui a permis aux voleurs virtuels de supprimer tous les terminaux associés à ce compte en utilisant la fonction Localiser mon Mac. Dans la foulée, ils ont aussi accédé à son compte Gmail et au compte Twitter de Gizmodo, son ancien employeur.
À l'origine, il pensait que son mot de passe avait été déchiffré par les responsables de cette attaque. Un mot de passe spécifique à son compte iCloud, mais qui n'était peut-être pas assez fort avec sept caractères. Comme il l'a appris par la suite, la vérité est plus terrible : les voleurs ont simplement réussi à se faire passer pour lui auprès de l'assistance Apple.
Les questions posées par le service sont manifestement insuffisantes et les responsables ont pu y répondre sans inquiéter leur interlocuteur au téléphone. Ils ont demandé une réinitialisation du mot de passe et ont ainsi pu accéder au compte de Mat Honan. Depuis cet incident, l'entreprise de Cupertino n'a pas fait de commentaire, mais l'information serait montée très haut dans la hiérarchie et une sécurité renforcée est probablement en train d'être mise en place.
En attendant, Apple aide Mat à retrouver ses données et cet incident rappelle qu'il faut absolument sauvegarder tout son contenu et si possible pas uniquement sur un service Internet. Dropbox ou des solutions de sauvegarde en ligne sont utiles pour retrouver ses données, mais en cas de faille de sécurité, c'est toute sa vie numérique qui est menacée…
À l'origine, il pensait que son mot de passe avait été déchiffré par les responsables de cette attaque. Un mot de passe spécifique à son compte iCloud, mais qui n'était peut-être pas assez fort avec sept caractères. Comme il l'a appris par la suite, la vérité est plus terrible : les voleurs ont simplement réussi à se faire passer pour lui auprès de l'assistance Apple.
Les questions posées par le service sont manifestement insuffisantes et les responsables ont pu y répondre sans inquiéter leur interlocuteur au téléphone. Ils ont demandé une réinitialisation du mot de passe et ont ainsi pu accéder au compte de Mat Honan. Depuis cet incident, l'entreprise de Cupertino n'a pas fait de commentaire, mais l'information serait montée très haut dans la hiérarchie et une sécurité renforcée est probablement en train d'être mise en place.
En attendant, Apple aide Mat à retrouver ses données et cet incident rappelle qu'il faut absolument sauvegarder tout son contenu et si possible pas uniquement sur un service Internet. Dropbox ou des solutions de sauvegarde en ligne sont utiles pour retrouver ses données, mais en cas de faille de sécurité, c'est toute sa vie numérique qui est menacée…
Une vie, 7 caractères.. On est peu de choses, ma ptite dame.
Vie numérique...
Pathétique ?
http://www.dailymotion.com/video/xscvjg_online-now_shortfilms
C'est d'autant plus grave quand on sait que des milliers d'entreprises utilisent le cloud pour stocker leur données et emails... et se sentent rassurer, plus rien a faire (sauvegarde sur bande, chaque jour, semaine, etc...), accès externe simplifié via le web et un numéro de tél (comme mot de passe)...
Ah, le monde moderne, c'est plus les pépés mémés qui protégaient leur "trésor" dans des chaussettes ou dans le four !
C'est le problème d'Apple. Le support technique est bien trop gentil et ils font beaucoup trop confiance aux clients. Il faudrait surtout dans ces cas là qu'ils envoient un courrier au propriétaire du compte. C'est ce que fait Orange pour les mots de passe de connexion par exemple. jamais ils communiquent les mots de passe par téléphone, même aux entreprises.
Ca semble assez élémentaire mais pas pour Apple visiblement. heureusement qu'ils font pas encore service bancaire ...
Stocker ses données dans le cloud c'est déjà pas très malin.
Les stocker [b]seulement[/b] dans le cloud c'est totalement débile.
Mais quand ça arrive à un journaliste (probablement geek) qui bosse pour une boîte comme Gizmodo alors là je me marre comme un petit fou(r) !
@karayuschij :
+1
Ptdr..le cloud...qu'elle belle merde oui.
Le vol d'identifiant de cette manière n'est pas une spécificité d'Apple. Non seulement ça, mais c'est surtout la mêthode la plus utilisé, car la plus "simple".
Les grandes compagnies du CAC40 se sont toutes faites voler des millions d'euros parce que des petits malins se faisaient passer pour le boss et demandaient des virement.
@karayuschij
Depuis iCloud, tu peux déclencher l'effacement LOCAL des données sur ton mac/iphone/ipad....
Donc la personne qui obtient ton mot de passe tient réellement en otage tes iDevices !
En fait c'est Apple, ils ont voulu tapé gizmodo à travers ça ;-)
Le SE toujours aussi efficace :d
il faut enfoncer le cloud...
"Il manque une fonctionnalité de sécurité par SMS ou de liste des accès comme sur Gmail."
+1, n'empêche, sans cette fonction je n'aurais rien centralisé sur Google :)
Elle rassure un max, aucune chance de se faire prendre son compte sans se faire voler son téléphone.
@Kelv
Heu ... si, malgrés le tocken par SMS on peut quand même te piquer ton compte, c'est juste un peu plus compliqué.
Et quoi qu'il en soit, ça n'aurait pas empeché le social ingeniering sur le SAV.
tu peux avoir tout les token du monde, si tu expliques au SAV que t'a perdu ton phone et qu'il doivent te reinit tes accés, t'es niqué quand même.
Le seul moyen assez efficace, c'est une encryption FORTE faites par TOI sur les datas que tu sauves sur le cloud.
Au pire on te les voles, au pire les voleurs on beaucoup de puissance de calcul, et au mieux (a moins d'avoir la puissance d'un super calculateur, ce qui est rare, surtout pour voler tes photos de vacances) ils mettrons des années a decrypter (les données seront donc obsoletes).
@thibotus
+1
J'ai l'impression que c'est tendance de basher le cloud, juste pour faire genre "je suis un sceptique jusqu'au bout, j'ai tellement de caractère et d'indépendance que je ne me fais pas berner comme tous les autres""...
Il y a deux aspects indépendants l'un de l'autre à cette histoire:
- la sécurité des données stoquées dans le nuage (ou chacun a son idée de ce qui est sur ou pas)
- l'accès à la fonction d'effacement à distance
C'est l'accès à cette dernière fonction qui est la plus dangereuse si elle n'est pas blindée.
C'est également sur celle-ci que c'est appuyé le hacker pour pourrir les données du journaliste
@guigus31 :
oui, il vaut mieux être un chat avec 7 vies...
@elamapi : un peu ? C'est bien plus compliqué quand même, rien à voir la sécurité est beaucoup amélioré, et tu es de suite informé si quelqu'un essaie de rentrer dans ton compte (donc tu peux tout changer immédiatement si besoin). D'autant plus il y a pas seulement le code SMS, il y a aussi les mots de passes spécifiques pour ce qui est applicatif (unique a chaque service).
Backupez vos données sur des 5 pouces un 1/4. De cette façon même si on vous les vole, personne ne pourra vous les lire.
ICloud n'a jamais été un système de backup. En stockage de données, comme en gestion de patrimoine, la règle est de ne pas mettre tous ses œufs dans le même panier. Il faut avoir un backup type Time Machine, en local, plus une sauvegarde mensuelle sur un disque non TM plus un backup DropBox. À cela vous pouvez adjoindre un service comme iCloud dont je regrette toujours l'absence dans Pages, Numbers et Keynotes. D'ailleurs à quoi vous sert iCloud ?
"impossible de se connecter a xxxxx@me.com" Veuillez saisir votre mot de passe : "
Merci macge! Maintenant lorsque ce message apparaîtra sans raison valable je vais me dire que je me suis fait piraté ^^
Moi je dis que c'est bien fait pour sa pomme !
Les données personnelles, ça doit rester à la maison. Elle ne doivent pas être envoyée sur ce p… de Cloud qui un beau jour vous foutra tous dans une m… noire après un crash général comme il 'en est déjà produit par le passé chez d'autres, à commencer par Sony pour ne cite r que le plus récent.
Mais je dis ça, je dis rien … :-))
Se sont ses données en dur sur le DD de son Mac qui ont été effacées à distance et s'il y avait également ses sauvegardes idevices ben dans le baba, par contre il aurait dû faire une sauvegarde de son Mac pour un journaliste pointu comme lui là est l'erreur à moins qu'il en ait une et que personne n'en parle afin de pouvoir bâcher le cloud d'Apple
Clairement une faute professionnelle d'Apple.
Si j'étais lui et qu'Apple me donne pas de compensation, ça finirait au tribunal direct.
J'embrasse ma clé FIPS 140-2 L3.
La notion de sécurité est très abstraite pour beaucoup de gens et d'entreprises et la virtualisation n'arrange rien. Je connais une entreprise dont quasiment tous les stagiaires ont accès au serveur, combien conservent les codes d'accès en fin de stage ? Je suis sûr que cet exemple est loin d'être unique.
Tiens, je vais me faire une archive de mon carnet d'adresse et agenda, c'est déja ça de sauvé !
Je suis étonné que l'on puisse être surpris ... Perso je pense que tout ce qui est sur internet puisse être piraté !
Quand toutes les données vont être dans le cloud, je pense que l'on va bien rire et s'amuser :)
Apple s'est vengé de Gizmodo pour l'iPhone qu'il avaient récupérés y'a 2 ans !!! LoL
@guigus31
1 vie, 7 caracteres, beaucoup de schyzophrènes.
Le cloud ne sera jamais à l'abri de failles, je ne stocke jamais de données sensibles, un jour il y aura un crash. en lisant le tribune j'ai trouvé ceci:
http://www.latribune.fr/technos-medias/internet/20120806trib000712906/steve-wozniak-avec-le-cloud-rien-ne-vous-appartient.html#xtor=EPR-2-%5BLactu+du+jour%5D-20120806
On ne peut trouver meilleur avocat...
@ cinerea
+10
Tout à fait d'accord. En résume, WOZ déclare :
« Avec le cloud, vous ne possédez plus rien. Vous avez déjà signé pour être dépossédé. Je veux sentir que je possède les choses que je possède. "Tout est sur mon ordinateur" pensent les gens mais moi je dis que plus vous transférez de choses sur le web, dans les nuages, le moins vous pouvez les contrôler », a-t-il encore précisé.
Ce n'est pas Mat Honan qui dira le contraire.
Il n’utilisait pas Time Machine, le gars ?!
Bien sûr, ça ne changerait rien au vol de ses données, mais au moins ça lui éviterait de parler en plus de leur perte.
C'est assez grave toit de même ... En plus j'avais penser à faire ce même piratage à un ami ... Et ben ...
Identification 2 facteur Apple svpppppppppppp!!!
Sinon je pense qu'une bonne Time Machine local associé a dropbox pour accéder a ses dossiers online est parfait ;)
@ damien83 : Tu veux faire de la prison et perdre un ami ?
Le problème du système d'Apple c'est qu'il est beaucoup trop centralisé. Il faudrait lâcher un peu plus de lest vers l'utilisateur, histoire d'avoir des "sas de décompression".
@ thibotus & Shralldam : oui, le Cloud c'est bien quand c'est utile et bien fait... sauf qu'en pratique c'est inutile et mal ficelé dans 99% des cas, avec des conséquences prévisibles comme celles qu'on nous présente ici (étant entendu que la faille n'avait quant à elle rien à voir avec le Cloud).
D'où les critiques, qui me semblent parfaitement justifiées.
La prudence la plus élémentaire voudrait qu'on n'abandonne pas la maîtrise de nos informations et nos activités à un système échappant par principe totalement à notre contrôle.
Ce n'est pas une question de vanité, mais de bon sens.
Je vous renvoie au point de vue récemment exprimé par Steve Wozniak à ce propos.
L'hitoire complête est édifiante :
http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/all/)
TRES impressionnat et inquiétant...