Le site développeurs d'Apple victime d'une intrusion revendiquée par son auteur

Florian Innocente |


Le site développeurs d'Apple a fait l'objet d'une tentative d'intrusion jeudi dernier. C'est pour cette raison qu'il a été fermé en fin de semaine et qu'il est toujours inaccessible, aujourd'hui encore.

Après avoir évoqué une maintenance plus longue que prévu, Apple explique le fond de l'affaire sur la page d'accueil. Elle n'exclut pas que des noms et/ou des adresses électroniques de ses développeurs enregistrés puissent avoir été obtenus, mais les informations personnelles de nature sensible sont chiffrées.

Le système de ce portail développeurs est donc en pleine restructuration. Apple a ensuite déclaré à nouveau auprès de Macworld que le serveur auquel cet intrus avait eu accès n'était associé à aucune donnée personnelle des clients iTunes, lesquelles sont également chiffrées. Pas d'accès possible non plus aux apps stockées où aux serveurs sur lesquels les informations de ces apps sont enregistrées.

Dans une vidéo postée sur YouTube, Ibrahim Balic (Linkedin), le spécialiste en sécurité qui revendique cette intrusion, explique avoir signifié à Apple sa faille de sécurité quelques heures avant que le site ne soit fermé.

Il montre dans son clip qu'il a pu accéder à des identifiants et adresses électroniques (100 000 entrées selon lui). Mais aucune autre information, a-t-il confirmé dans un mail à 9to5mac. Il affirme avoir réalisé cette opération à des fins de recherche en sécurité, et il compte supprimer les données obtenues.



[MàJ à 9h] : Dans l'email publié par The Next Web, Ibrahim Balic raconte avoir relevé 13 bugs sur le site d'Apple, et tous ont été soumis à l'intéressée via la page dédiée aux développeurs.

Il a extrait et présenté les détails de 73 comptes pour appuyer sa démonstration auprès d'Apple. 4 heures après ce signalement, Apple a fermé l'accès au site développeurs. Il a demandé à Apple par mail si cette dernière souhaitait qu'il interrompe ses recherche pour ne pas la mettre en difficulté, mais sans réponse à ce jour.

Devant la description faite parfois de cette intrusion, il insiste sur son côté purement académique, sans motivation de nuire ou de collecter des information à des fins illégales.

« In some of the media news I watch/read that whether legal authorities were involved in its investigation of the hack. I’m not feeling very happy with what I read and a bit irritated, as I did not done this research to harm or damage. I didn’t attempt to publish or have not shared this situation with anybody else. My aim was to report bugs and collect the datas for the porpoise of seeing how deep I can go within this scope. I have over 100.000+ users details and Apple is informed about this. I didn’t attempt to get the datas first and report then, instead I have reported first.

I do not want my name to be in blacklist, please search on this situation. I’m keeping all the evidences, emails and images also I have the records of bugs that I made through Apple bug-report. »

avatar nova313 | 
Le site des developers est archaïque niveau code. Il n'est don pas surprenant de le voir se faire pirater. Perso, j'ai préféré changer mon mot de passe de mon compte dev, car même si Apple se veut rassurant, des données ont bien pu être récupérés.
avatar liocec | 
C'est clean de leur part de le reconnaître et surtout d'agir aussi rapidement.
avatar liocec | 
@nova313 : 'ai préféré changer mon mot de passe de mon compte dev,' Tu fais comment pour changer ton mdp si t'as pas accès à ton compte dev ?
avatar pacou | 
@liocec : On le tient le pirate
avatar Sébastien MICHOY | 
@liocec : "Tu fais comment pour changer ton mdp si t'as pas accès à ton compte dev ?" Le mot de passe dev' correspond à ton Apple ID. Tu peux donc le changer à partir d'iTunes.
avatar noooty | 
Il donne l'impression de vouloir se faire embaucher par apple, alors qu'il a fait ça avec un pc windows...
avatar jackWhite92 | 
C'est plutôt sur les autres sites qu'il faut changer ton mdp (si tu utilises le même mdp partout).
avatar falemaster | 
C'est peut etre une bonne chose ! Parce que le dev portal est horrible d'utilisation ... Peit etre en profiterons t 'ils pour le simplifier ...
avatar Malvik2 | 
Pour éviter les ennuis sur le net, perso j'essaye de ne jamais enregistrer et lier de carte bancaire sur un compte-site, préférant les cartes prépayés...mais il est vrai que ce n'est pas évident parfois.
avatar henpat | 
Si ça coince, forcez. Si ça casse, ça devait probablement être réparé, de toute façon. - Murphy
avatar USB09 | 
@liocec Mot-de-passe ? À tout hasard : monappleID.com
avatar mbpmbpmbp | 
On prend les paris qu'il va se faire poursuivre en justice ?
avatar redchou | 
"I am not a hacker, I do security research" -Hacker, spécialiste de la sécurité informatique. -Hacker, personne qui aime comprendre le fonctionnement interne d'un système, en particulier des ordinateurs et réseaux informatiques. (Source Wikipédia) T_T
avatar Eaglelouk | 
Ce genre de mec est complètement ridicule... Qu'il revendique l'attaque, rien à foutre, mais de là à faire une vidéo youtube qui montre le résultat de son exploit : nul à chier. Le mec a même pas pris la peine de flouter les adresses mail dans la vidéo. Et le coup du message à la fin me fait bien rire aussi… "j'adore mon boulot, j'suis trop gentil alors je supprimerai les données quand Apple aura corrigé le bug :-)" BISOUNOURS TOUSSA, mon cul. Bref, un bon gros connard, et pardonnez-moi l'expression.
avatar johnios | 
Donc c'est lui qu'il faut défoncer si on a une intrusion sur notre compte developper ?
avatar DarkChocolâte | 
Son Anglais est nul à chier, il ferait mieux de faire des recherches dans ce domaine, + musique pourrie sur sa vid, bref, un gros loser.
avatar redchou | 
@DarkChocolate En même temps, c'est moi où cette phrase est mal dite: "Last Thursday, an intruder attempted to secure personal information of our registered developers from our developer website." To secure? Ça veut dire pirater?
avatar Mathias10 | 
@Eaglelouk : Tu ne sais pas si le mec va ou non les supprimer. Il existe encore des gens honnêtes sur Terre. Avec 100.000 mails de dev il ne fera rien, avec un tel hack en revanche il sera embauché dans une grosse boîte.
avatar Zouba | 
Marrant tous ces commentaires ! Le mauvais serait le mec qui pointe les failles du site d'Apple et pas la bande de nuls qui a codé le site ? Hébé…
avatar mikélé | 
> To secure? Ça veut dire pirater? Non, ça veut dire se procurer... Un "faux ami" comme "eventually"
avatar BLM | 
@Sebastien Michoy «Le mot de passe dev' correspond à ton Apple ID. Tu peux donc le changer à partir d'iTunes.» Non. Mon mdp dev n'est pas celui de mon compte iTunes.
avatar Nesus | 
@Zouba : Eaglelouk a raison. Qu'il est réussi et souligné le problème est une bonne chose, mais faire une vidéo de comment il a fait et violer la vie privé de dev en ne filoutant pas les adresses c'est inadmissible. Ça montre qu'il est très loin d'avoir pour préoccupation la vie privé d'autrui et donc par extension, ça fait fortement douter sur ces motivations et déclaration.
avatar Ellipse | 
Pour qu'Apple ferme le site, la faille doit être vraiment importante. C'est une mesure sensée et courageuse, même si cela va leur coûter à court terme en terme d'image.
avatar rikki finefleur | 
Pareil, moi j'ai engueulé mon garagiste de gros connard, lorsqu'il m'a appris que mes durites de frein étaient en train de se cisailler.. J'en ai profité pour lui mettre un bourre pif.. Parfois des commentaires sont pffff. Il vaut mieux s'interroger sur la sécurité sur le web. Ils manquent pas d'ingenieurs chez Apple non? @je sais pas qui est le plus looser. Celui qui maintient le site Celui qui dénonce les failles que le 1 n'a pas vu. Celui qui traite de loser le n°2 que le n°1 n'avait pas vu.
avatar Shralldam | 
J'ai un peu du mal avec ce procédé très tendance qui consiste à se rendre "célèbre" en prenant en otage une entreprise et la communauté qui est derrière. Tout ça en se faisant passer pour quelqu'un de vertueux. Pour moi, le temps qu'il a laissé à Apple (4 heures) est extrêmement court, il avait donc planifié son action depuis le début. Se faire passer pour un sauveur alors que le but est clairement le coup de pub, c'est un peu limite. Mais bon, quand on est prêt à tout...

Pages

CONNEXION UTILISATEUR