CelebGate et force brute : Apple au courant six mois avant
La force brute a été utilisée par des hackers pour récupérer les mots de passe des comptes iCloud de célébrités, ce qui a mené de fil en aiguille à la mise en ligne de dizaines de photos intimes. iCloud n'est pas seul en cause dans cette affaire que l'on a baptisé CelebGate : il a fallu aussi user de techniques d'ingénierie sociale pour récupérer les identifiants des comptes en question, puis utiliser des outils bien spécifiques pour mettre la main sur les images en question (lire : Fuite de photos de stars : la responsabilité d'Apple est-elle engagée ?). Tim Cook s'est depuis engagé à renforcer la sécurité des données stockées sur le nuage d'iCloud, en déployant plus franchement son système d'authentification en deux étapes.
Dès le mois de mars de cette année, Apple avait été mise au courant de la possibilité de pirater des comptes iCloud en utilisant la force brute, d'après le site DailyDot. Le chercheur en sécurité Ibrahim Balic a effectivement prévenu le constructeur de cette « faille » six mois avant le déclenchement de la tempête CelebGate. Le 26 mars, il envoyait un courriel à un responsable d'Apple et soumis un rapport de bug, écrivant avoir réussi à franchir la sécurité du nuage de la Pomme par la force brute : Balic a pu tester 20 000 combinaisons de mots de passe afin de forcer le passage d'un compte iCloud.
Le 6 mai, Apple répondait à Balic que la force brute nécessite énormément de temps pour trouver le mot de passe d'un compte. « Pensez-vous que vous avez une méthode pour accéder à un compte dans un laps de temps raisonnable ? », demandait un responsable sécurité du constructeur. En fait, c'est ce qui s'est passé : un script Python a été développé afin d'automatiser les tentatives d'infraction : c'est lui qui a mené aux premiers accès non autorisés dans les comptes iCloud des vedettes; quelques heures après la fuite des photos, Apple a rapidement bouché cette vulnérabilité même si le constructeur a assuré ensuite que la mise en ligne des clichés n'était pas le résultat d'une brèche dans iCloud. « Si Apple avait pris le problème plus sérieusement », explique Balic, « peut-être que le problème ne serait pas apparu ». C'est désormais le cas, la sécurité fait finalement parti des priorités du constructeur.
Ibrahim Balic n'est pas un inconnu dans l'histoire récente d'Apple. Le développeur avait déjà tenté de s'accorder tout le crédit d'une faille touchant le Dev Center durant l'été 2013 : il avait pu, via une faille touchant iAd Workbench, obtenir 100 000 identifiants Apple, sans toutefois avoir pu apporter la preuve d'un accès aux données du Dev Center en lui-même (lire : Le Dev Center n'a pas fermé seulement à cause d'Ibrahim Balic).
il y a tant que ça de Scott chez Apple ?
Quel rapport?
Les clouds de diverses sociétés dont les comptes ont été visites ne sont meme pas victimes d'un hack, mais d'une attaque par force brute agrémentée d'ingénierie sociale (merci Facebook pour la contribution)
C'est quoi une attaque par force brute: ici c'est un script python qui tente de se connecter a un compte avec une adresse mail et une liste de mots de passe.
En gros, le hacker est allé sur Facebook/twitter/Google+/... a farfouillé dans les profiles de cibles intéressantes (pas trop moches, en-dessous de 50 ans et très actives sur les resaux sociaux), a testé une série d'email genre moi_star_a _la_mode@outlook.com, a crée une liste de mots de passe genre mon_surnom_mon_anniversaire et a balance tout ça a un script python qui a tente de se connecter a des comptes cloud.
Pour peu que le gars ait bien fait son travail, avec la manie des gens de faire des mots de passe facile a trouver, les 5 premières tentatives ont été suffisantes...
Difficile de trouver une parade a ça, meme en limitant le nombre de tentatives avant de verrouiller le compte.
Apres le problème, c'est que ces photos et vidéos ait été divulguées sans l'accord explicite des personnes. Mais sinon personne ne semble contester la réalité de ces photo, ni exprimer qu'elles aient été faite sans le consentement des personnes concernées.
Ce qui est remarquable, c'est que ces images sont représentatives des pratiques de la majorité de la population et que les stars ne sont ici que des personnes ayant un comportement devenu habituel depuis un moment.
Exposer sa nudité, sa sexualité, érotiser son image, assumer son identité sexuelle et ses besoins, communiquer sexuellement (on est des mammifères sociaux et notre gestion sociale inclue la sexualité)… c'est (enfin, merci Freud) devenu normal et ça ne choque plus personne a part quelques vieux fossiles obscurantistes et pathologiques ou des fanatiques tout autant pathologiques (dont la perversion est une évidence).
Le problème que se pose pour les stars, c'est que légalement si elle ne démontrent pas qu'elle ont été victimes, elles risquent d'etre poursuivie par les associations de réactionnaires pathologiques qui sévissent aux USA. Et la le fond du problème c'est que la loi a 4 ou 5 generations de retard sur l'évolution sociale et qu'effectivement les stars peuvent être condamnées pour exhibitionnisme…
C'est un non sens, et c'est l'exemple de ce qui se passe lorsque les systèmes étatiques ne sont pas des démocraties directes...
" c'est (enfin, merci Freud) devenu normal et ça ne choque plus personne a part quelques vieux fossiles obscurantistes et pathologiques ou des fanatiques tout autant pathologiques (dont la perversion est une évidence). " . > Traiter de pervers des gens qui refusent que des gamins puissent tomber sur ce genre de photos montre un gros problème dans ton esprit, une grande confusion entre la normalité et la perversité.
Je me demande combien de mails de ce genre sont envoyés à Apple par jour. Et je me demande aussi à combien ces informations sont rançonnées. J'ai en effet du mal à croire que les gentils hacker qui font ça sur leur temps libre pour "le bien de la communauté Apple" soient très nombreux.
C'est vrai que Apple n'a pas assez d'argent pour mettre en place un programme comme Google qui récompense les hackers qui découvrent les failles ...
@Aelin
Parce que tu crois qu'un hacker qui trouve une faille de cette taille va se contenter des 100 000 dollars de Google ? Tu crois qu'il a pas déjà monétisé sa découverte avant d'aller réclamer le chèque ? Mais t'es d'une naïveté mon pauvre...
L'enjeu se chiffre en milliards de dollars. Combien tu crois que les concurrents d'Apple seraient prêts à payer pour saborder l'image d'Apple ?
Explique moi pourquoi les mecs qui ont divulgués les photos des stars ne sont pas milliardaires mon copain ?
@Aelin
Qu'en sais-tu ?
@joneskind :
Des milliards... Ca va la tête, tu t'enflammes pas trop là ??
N'oublies pas que quiconque publie ces photos va le payer extrêmement cher en justice, les USA c'est pas la France chouchou ! Je veux bien qu'on monte à 200-300 000$ allez soyons fou, mais ensuite c'est du gros fumage lol
Tu ferais pas parti des irréductibles pourfendeurs de la théorie du complot par hasard ? Ca m'étonnerait qu'un tout petit peu...
Il y a pas mal de chercheurs en sécurité qui bossent pour des universités et qui font ça plus pour la publication que pour récupérer l'argent qu'il y a potentiellement derrière chaque faille trouvée.
Ce ne sont pas la majorité c'est sûr, mais ça en fait déjà pas mal.
Rançonner une grosse multinationale aussi puissante n'est pas à mon avis pas très productif, mais c'est déjà arrivé notamment lorsque Nokia s'était fait voler ses clés de signature. Mais c'était un problème de sécurité autrement plus gros qu'une vulnérabilité au brute force...
@ErGo_404
Je veux bien être optimiste et croire en l'honnêteté globale de l'humanité. Mais il suffit d'un seul individu malveillant pour en arriver là.
Le CelebGate a été savamment orchestré, et sorti au pire moment pour Apple.
Le phénomène des photos de stars nues n'est pas nouveau sur internet. Mais généralement elles arrivent au compte goutte et l'affaire ne fait jamais grand bruit. Ici c'est un énorme paquet de photos qui a été balancé juste avant le keynote, et même pas sur un site de boules. Il ne fait donc aucun doute que le but de la manoeuvre était de nuire à l'image d'Apple et personne d'autre. Les stars ont été les victimes collatérales de l'affaire.
Ou alors, c'est simplement que le hacker savait qu'allait arriver un nouveau iOS et que du coup peut-être que la faille allait disparaître... Donc il fallait l'exploiter, pas pour faire du bobo à Apple, mais que si il voulait en retirer de l'orgueil/reconnaissance, c'était à cet instant précis et pas d'autre.
Tu serais étonné du nombre de hacker qui font ça pour le sport, sans aucune intention autre que de hacker, que de démontrer leurs connaissances à leurs compères.
Bref, c'est un peu comme si tu nous sortais que le coup du bug iOS était aussi un coup de la fameuse alliance anti-Apple helvetico-sioniste.
Et pourtant ce bug est infiniment plus dommageable pour l'image d'Apple, mais alors d'une manière tellement incomparable...
@debione
"Ou alors, c'est simplement que le hacker savait qu'allait arriver un nouveau iOS et que du coup peut-être que la faille allait disparaître... Donc il fallait l'exploiter, pas pour faire du bobo à Apple, mais que si il voulait en retirer de l'orgueil/reconnaissance, c'était à cet instant précis et pas d'autre."
C'est vrai qu'on a beaucoup entendu le fameux hacker fanfaronner sur son exploit.
D'ailleurs c'est qui ce fameux hacker qui cherche la gloire et la reconnaissance ? Ah, on en sait rien ? Ok alors... Il doit pas beaucoup profiter de sa gloire...
Je pense que la cible n'est ni Apple (iCloud est un des clouds vises mais pas le seul loin de la, meme Blackbery est touche), ni les stars, mais le cloud en général.
Les hackers ont fait ça parce que c'était possible. Et ils le referont parce que ce sera toujours possible.
Les stars sond des personnes comme les autres, avec des pratiques normales. Deduire que leurs comptes cloud étaient remplis d'images d'eux meme, nue ou clairement sexuelles était une évidence. La majorité des couples fait ça, la majorité des (on va dire jeunes) fait ça,… les stars aussi. Mais il est plus facile de trouver l'accès au compte de J.Lawrence que de Berthe-Frenegonde Martin…
C'est pas la semaine Apple en tous cas. Quand les emm*rdes arrivent, c'est par paquets (adage que notre président a validé moultes fois la véracité).
@Ast2001
On sait déjà que le CelebGate était préparé de longue date. Le coup de la MaJ iOS8 foireuse est incompréhensible et douteux. Je veux bien croire en la loi des séries mais là ça commence à faire beaucoup sur une si courte période.
@joneskind
Tu es sérieux ?
@John Maynard Keynes
À quel propos ? Si je crois à un complot ?
J'irai pas jusqu'à défendre l'idée bec et ongles devant un psychiatre mais je trouve que cette accumulations d'affaires à ce moment précis est un peu douteux oui.
Pour ce qui est du CelebGate, le fait que les photos récupérées avaient été supprimées de longue date des serveurs d'Apple (depuis 2 ans pour certaines) et vu le fonctionnement même de l'attaque par force brute - qui nécessite en amont une recherche approfondie, ne serait-ce que pour obtenir l'ID des stars en question - y a aucun doute là-dessus.
Et par exemple que l'on entre réellement dans une époque afterJobs, ça ne t'a pas effleuré l'esprit?
Que justement Cook est un excellent CEO, mais qu'Apple n'a plus "The Boss"? Je ne pense pas que les employés réagissent actuellement de la même manière si ils entendent que TC est dans les parages que quand ils entendaient que Jobs était par la...
Je ne dis pas que ce que je dis est vrai, mais cela me semble un peu plus vraisemblable que de croire que Samsung à payé des employés pour modifier l'alliage des iphones 6, que Google à mis à disposition ses hackers pour hacker iCloud, et que Microsoft a activer ses taupes pour rendre tous les iphones 6 inopérants.
Tout le monde s'accorde à dire que le management c'est assoupli avec l'arrivée de TC, mais il n'est pas interdit de penser qu'avec son mode opérationnel, Apple ne peut être dirigé que par un tyran... Ou alors il faudra que la boîte change de paradigme.
@debione
"Et par exemple que l'on entre réellement dans une époque afterJobs, ça ne t'a pas effleuré l'esprit?"
C'est Jobs qui testait les téléphones ?
Il n'y a jamais eu de MàJ foireuse sous l'ère Jobs ?
"Tout le monde s'accorde à dire que le management c'est assoupli avec l'arrivée de TC, mais il n'est pas interdit de penser qu'avec son mode opérationnel, Apple ne peut être dirigé que par un tyran... Ou alors il faudra que la boîte change de paradigme."
Que le management se soit assoupli je veux bien le croire. Qu'il se soit assoupli au point qu'aucun iPhone 6 n'ait été testé sous 8.0.1 j'ai déjà plus de mal.
Alors cela fait plus de quinze ans que je suis dans le monde Apple, non, des mises à jour comme cela je n'en n'ai jamais vécu. Des mises à jour apportant plein de bug, oui, mais qui rendent inopérant un matériel non (pas même la première mouture d'osx).
Après oui, Jobs testait les téléphones (il ne testait sans doute pas tout, mais Jobs une loupe dans la main en train d'inspecter les pixels d'une appli, cela c'est vu, j'ai pas encore vu cela avec TC).
La possibilité que je soulève (qui ne reste qu'une possibilité) est qu'Apple a (avait) un fonctionnement assez particulier, très vertical, équipe tournante, à l'encontre de beaucoup de théorie. Cela marchait bien, mais on est tous conscient qu'une bonne partie de cette réussite était due à la personnalité de Jobs.
Les lieutenants tremblent-ils comme ils tremblaient devant Jobs quand ils doivent annoncer à TC que "Euh, patron, on vient de rendre l'ensemble des nouveaux iphones inutilisables? Je ne le crois pas... Du coup l'ambiance, la pression humaine pour faire du parfait n'est sans doute plus du tout la même, du coup il n'est pas sur non plus que la structure d'Apple soit faitepour bien fonctionner comme cela...
Cela me semble une piste première un peu plus pertinente qu'une énième théorie du complot....
@debione
"Alors cela fait plus de quinze ans que je suis dans le monde Apple, non, des mises à jour comme cela je n'en n'ai jamais vécu. Des mises à jour apportant plein de bug, oui, mais qui rendent inopérant un matériel non (pas même la première mouture d'osx)."
Jamais de MàJ qui empêche le démarrage d'une machine ? Genre une MàJ qui provoque un Kernel Panic systématique de la machine et qui aurait, à tout hasard, poussé Apple à inventer Time Machine ?
Ça te dit rien ?
"Après oui, Jobs testait les téléphones (il ne testait sans doute pas tout, mais Jobs une loupe dans la main en train d'inspecter les pixels d'une appli, cela c'est vu, j'ai pas encore vu cela avec TC)."
Jobs testait les téléphones pour savoir s'ils fonctionnaient selon ses attentes, mais c'est certainement pas lui qui assurait le débugage.
"La possibilité que je soulève (qui ne reste qu'une possibilité) est qu'Apple a (avait) un fonctionnement assez particulier, très vertical, équipe tournante, à l'encontre de beaucoup de théorie. Cela marchait bien, mais on est tous conscient qu'une bonne partie de cette réussite était due à la personnalité de Jobs."
Je ne mets absolument pas en doute cette analyse. C'est sans doute compliqué pour Cook de trouver le bon rythme. Mais c'est pas Cook qui fait les beta-tests. Et Apple c'est des dizaines de milliers d'employés. Donc un lieutenant qui déconne Ok. Mais tous ?
"Cela me semble une piste première un peu plus pertinente qu'une énième théorie du complot...."
Pourquoi une Nième ? Je suis sur OSX depuis 2008 et c'est la première fois que je vois une bonne raison de croire à une action malveillante.
Par ailleurs, je ne vois pas en quoi c'est plus pertinent. Je suis du genre pragmatique. À tirer les possibilités dans tous les sens avant de me positionner. Alors pour éviter de laisser mon imagination aller trop loin, je fais des probabilités.
La question que je te pose c'est: À combien estimes-tu la possibilité qu'aucun employé d'Apple n'ait détecté un dysfonctionnement aussi visible que la perte du réseau et de TouchID sur les iPhone 6 en 8.0.1 ? Y a des mecs qui sont payés pour ça. Ils sont probablement expressément nommés comme tel
John Appleseed, service développement iOS sur iPhone 6 - Pour rappel, chaque MàJ est différente pour chaque terminal, ce qui explique qu'elles ne fassent pas toutes la même taille.
Cette probabilité est tout simplement nulle, que ce soit chez Steve Jobs, Tim Cook, Bill Gates ou Ballmer, ça n'arrive jamais.
Comme je l'ai dit, qu'un bug passe les mailles du filet, ou qu'il soit tout simplement mis à la résolution pour la MàJ suivante ça arrive. Qu'un bug aussi évident passe, ça n'arrive pas.
"C'est Jobs qui testait les téléphones ?"
bah... sans doute. la preuve :
https://www.youtube.com/watch?v=13n98rSaYp4&t=4183
Des sources STP.
Facile d'aller chercher la théorie du complot.
Sans sources on peut affirmer beaucoup de choses, c'est trop facile.
@Stardustxxx
Relis les articles qui ont été publié par MacGé et toute la presse IT en général.
Les photos qui ont été récupérées avaient été supprimées depuis longtemps. Alors je veux bien admettre qu'Apple garde des photos en cache, mais ça semble quand même improbable qu'elle garde des photos aussi longtemps.
Personnellement, j'ai supprimé des photos d'iCloud pour voir pendant combien de temps je pouvais les récupérer et ça n'a pas duré 15 jours. 48 heures tout au plus.
On ne doit pas lire la même chose alors. Et surtout on n'arrive pas a la même conclusion.
J'ai lu que ces photos s'echangeaient entre un petit groupe de personne depuis un bon moment. Le celebgate est probablement du a des hackers pre-pubere qui voulaient recuperer des photos de leurs actrices préférées.
Le fait que ces photos soient finalement postées maintenant n'entraine pas forcement un effet de cause a effet avec le reste de l'actualité. Moi je suis plus enclin a croire aux coincidences plutot que de voir des correlations entre n'importe quoi.
Je n'arrive pas a voir de lien entre les problemes de la dernière update d'iOS et le celebgate, par exemple.
Ce que je vois c'est des problèmes d'execution d'Apple (des problèmes dans la gestion de Tim Cook?) et le fait qu'Apple et ses utilisateurs sont des cibles privilégiées pour les hackers (dans le mauvais sens du terme).
La masse d'utilisateur fait d'Apple une cible privilégié, imagine si des hackers réussisaient a récuperer la collection de numero de carte de credit que possède Apple...
@Stardustxxx
"J'ai lu que ces photos s'echangeaient entre un petit groupe de personne depuis un bon moment"
Non. Le dossier est apparu brutalement sur un forum 4Chan.
"Le fait que ces photos soient finalement postées maintenant n'entraine pas forcement un effet de cause a effet avec le reste de l'actualité. Moi je suis plus enclin a croire aux coincidences plutot que de voir des correlations entre n'importe quoi."
Moi aussi je suis plutôt enclin à croire en des coïncidences quand j'ai affaire à ce genre d'évènement. C'est pas tant la coïncidence en elle-même qui me pose problème mais le nombre de celles-ci et le moment où elles arrivent qui pose question. Je ne dis d'ailleurs pas c'est certain c'est un complot. Je dis que l'éventualité d'un complot est probable. Et c'est une nuance à laquelle je tiens avant de passer définitivement pour un fou.
L'un l'empeche pas l'autre.
Ces photos se sont echangés pendant un moment entre un petit groupe de personne.
Et ensuite, une de ces personnes a posté sur 4Chan.
@Stardustxxx
C'est vrai.
Mais ça n'empêche pas non plus un individu malveillant de préparer le dossier à balancer une semaine avant le keynote.
Ce que tu m'expliques finalement c'est que personne n'a été directement payé pour exploiter une faille iCloud. Qu'un petit malin piratait des photos de stars nues et les partageaient, jusqu'au jour où un client particulier a tout balancé sur 4chan, une semaine avant le keynote.
Il s'agit de ne pas confondre l'acte malveillant et l'objet du délit.
Ce que j'explique c'est ce que j'ai lu.
C'est que les photos ce sont echangé pendant un bon moment (d'ou des photos d'il y a 2 ans) entre un petit groupe d'amateur.
A un moment, un des utilisateurs a décidé de les posté sur 4Chan.
Les gens n'ont pas besoin d'être payé pour exploiter les failles des compagnies et sites web...
Il y a des petits malins qui essaye de pirater les comptes des stars pour differentes raisons.
Que veux-tu dire ? Qu'il y a un complot derrière tout ça ? Je pense plutôt à un malheureux concours de circonstances saupoudré par un gros morceau d'amateurisme (le coup de la 8.0.1 c'est vraiment pas possible) et amplifié par tous ceux qui aiment bien tirer à vue sur les puissants.
@Ast2001
"le coup de la 8.0.1 c'est vraiment pas possible"
Effectivement. C'est vraiment pas possible. Tellement pas possible qu'en y réfléchissant 2 secondes, on réalise qu'il n'y aucune chance que ça arrive. En effet, je te rappelle quand même que la 8.0.1 était testée en interne depuis des semaines. On en trouve les premières traces sur internet avant même la sortie officielle d'iOS8. Donc je vois pas comment un tel bug aurait pu échapper à la vigilance d'Apple qui doit certainement plus tester ses nouveaux modèles que ses anciens.
Comme je l'ai dit, je ne soupçonnerais personne d'un tel amateurisme. Pas plus Apple que n'importe qui d'autre. Parce que c'est pas le genre de bug qui peut passer inaperçu. On ne parle pas d'un simple problème de Wifi ici, ou d'un petit bug d'affichage, ou d'une erreur d'orientation. On parle de la disparition pure et simple du réseau et de l'authentification TouchID de tous les iPhone 6 et 6+. Explique moi comment un tel bug aurait pu passer inaperçu ? Pour ça il aurait fallu qu'aucun technicien d'Apple n'ait eu un iPhone 6.
Il peut y avoir plein de raisons :-) Un truc implémenté au dernier moment, une merde sur la QA, une personne qui a appuyé par erreur sur le bouton 'Release' ;-) Je pense qu'il y a une ou des personne(s) qui a / ont un peu chaud aux fesses en ce moment chez Apple.
Ast2001
Toutes les raisons que tu donnes auraient pu être réglées en 10 minutes par les techniciens d'Apple, qui aurait pu balancer la dernière release stable d'iOS 8.0.1 et résolu tous les problèmes des possesseurs d'iPhone 6.
Le fait qu'Apple ait préféré laisser galérer ses clients montre bien que le problème est bien plus grave que ça.
Je trouve assez fascinante ta foi en Apple. Ce qui se passe avec cette mise à jour est assez loin du crédo 'it just works' de l'ère Jobs mais derrière il y a des êtres humains qui peuvent se planter, même de façon grossière. Oui, un fail aussi gros n'est (n'était pas) pas dans l'ADN d'Apple ère Jobs mais il n'empêche que cela peut arriver et que la théorie du complot a bon dos :-)
Après, si on apprend que c'est une taupe de Samsung qui est la cause de ce merdier, je ferai mon mea culpa ;-)
@Ast2001
Tu sais le 'it just works' c'était déjà une déclaration d'intention, Jobs était focalisé sur la vision et le concept mais en suite ...
Pour la mise en oeuvre ils sont depuis toujours coutumier des grosses boulettes, des conneries, des aveuglements, d'un certain autisme, d'un rien de psychorigidité, d'un déni de certaine réalité, d'une forme d'arrogance voir de mépris, d'un oublis des contingences matérielles ...
Bref rien de neuf, loin s'en faut ... sauf à être une victime du marketing :-)
C'est ce qui est très impressionnant chez Apple : malgré toute ces tares ils ont réussi des choses exceptionnelles.
En caricaturant, ce sont des artistes pas des industriels, ils croient avant tout à la force de leurs visions, le reste devant suivre bon gré ou malgré.
C'est ça l'ADN Apple
@Ast2001
"Je trouve assez fascinante ta foi en Apple."
Rien à voir avec une quelconque foi en Apple. Comme je l'ai dit et répété, je ne crois personne capable d'un tel raté. J'ai étudié la probabilité qu'un tel évènement arrive et elle est nulle. Qu'une personne se trompe c'est possible - par exemple en envoyant la mauvaise release - mais le problème aurait été réglé rapidement. Qu'une motification de dernière minute fasse planter les iPhone 6 ? possible - mais là encore la dernière release stable d'iOS 8.0.1 testés par les devs d'Apple aurait pu être balancée dans la foulée pour réparer les iPhones briqués.
Apple n'a pas envoyé de correctif dans la foulée, comme elle aurait pu le faire facilement si le bug en question n'était apparu que suffisamment tardivement pour être passé inaperçu.
Bref. Tout porte à croire qu'il ne s'agit pas d'une petite erreur humaine. Et j'aurai dit exactement la même chose de n'importe quel constructeur.
"Après, si on apprend que c'est une taupe de Samsung qui est la cause de ce merdier, je ferai mon mea culpa ;-)"
Si c'était vraiment le cas on en saura probablement jamais rien. Et Samsung ne serait de toute façon pas la seule boîte à y avoir un intérêt. Ça pourrait d'ailleurs tout à fait être l'objet d'un employé isolé.
La seule chose hautement improbable dans cette affaire c'est qu'elle soit le résultat d'une erreur.
Tu as étudié la probabilité et elle est nulle. Tu es l'expert dans ce domaine ?
Nous sommes plusieurs a visiblement ne pas être d'accord avec toi. Je suis désolé mais il faut plus d'argument que j'ai étudié la probabilité... Tu peux nous donner les détails de tes calculs.
Une accumulation de bad news.
Il y a besoin de resserrer quelques boulons (une bonne expression sncf)
La réactivité sur les pb de sécurité n'a jamais été la grande force d'Apple, il faut bien l'avouer.
On parle de brute force nan? Que les utilisateurs mettent des mots de passes plus élaborés que azerty etc ça serait déjà pal mal
@saji_sama
La masse des personnes utilisant un mot de passe unique et simplisme pour tous leurs comptes reste extrêmement conséquente.
Apple fait beaucoup sur ce point avec KeyChain, TouchID et sans doute quelques autres démarche du même acabit à venir sous peu (protocole d'identification par token et validation biométrique)
@John Maynard Keynes :
Oui justement c'est bien un problème d'éducation de l'utilisateur quant aux mots de passe et de leurs difficultés, c'est pas nouveau non plus l'obligation d'utiliser au moins un chiffre, une lettre, une majuscule, une minuscule, un caractère spécial.
Maintenant certains sites refusent des suites de lettres type azer. La puissance de calcul liée au brute force augmentant, c'est inévitable, après oui Apple devrait limiter les routines suspectes
De mieux en mieux. Y a vraiment du laisser aller chez Apple.
Quand on voit qu'il faut 1 an à Apple pour remettre un bouton disparu, corriger un vrai bug prends donc des années (ce qui explique iTunes et la synchronisation minable). Donc finalement, les bugs de sécurité ne seront pas corrigés avant plusieurs décennies.
La raison? Apple a très visiblement viré les développeurs, spécialistes des matériaux pour engager des designers et avocats. Du coup, on a des iphones 6 pas solides, trop fins pour faire passer l'appareil photo, ils ont oublié l'autonomie et le software est devenu catastrophique.
Et ils ignorent les rapports de bug des développeurs.... ce qui soutient mon hypothèse du "rien à battre des bugs".
@softjo
Très puissante analyse, bravo c'est remarquable de pertinence, de vision, de référence ...
J'ai un rapport à propos de la synchronisation d'un iphone/ipad avec iTunes. Plus précisément lorsque la processus est bloqué sur "attente de copie des éléments" durant 10-20-30 minutes. Qui donne également précisément dans quelles conditions cela arrive.
Rapport soumis le 10 juillet. Sans réponse.
Autres:
- Un autre à propos de la page support d'Apple.com/chfr qui renvoie vers des numéros français au lieu de Suisse. Un autre, qui parle de problème de langue dans l'iTunes store. Mix de français, allemand et anglais sur une même page (mai 2014)
- Un autre à propos d'une fonction disparue dans l'app musique. (février 2014)
- Problème de visibilité de certains boutons lorsque le fond est noir (+ flou/transparence = invisible), (juin 2013)
- Bug mineur d'affichage. (soumis en 2007, sans réponse...(
Ensuite, certains bug ont été annoncés comme résolu pour ios 7, alors que non. Et ces bugs sont donc encore dans io8.
Les beta d'iOS 8 ont toute eu des problèmes avec l'orientation de l'écran. Et la finale? Pareil, ça n'a pas été corrigé.
Des bugs, c'est normal. Avoir une version avec beaucoup de bugs ça arrive. Devoir attendre 6 à 12 mois pour leur résolution est inacceptable surtout dans le niveau de gamme de l'iPhone.
5 ans de même bug de synchronisation avec iTunes, c'est tout simplement scandaleux.
@softjo
Je comprends tes souffrance, c'est juste ton analyse de leurs sources qui est fort discutable.
Une bonne partie des bugs que j'ai listé est vérifiable sur le community forum d'Apple. On remonte facilement à 2012 pour ce qui est de la synchronisation. 2010 même, les messages de synchronisation ayant légèrement changé.
Et à 2007 pour ce qui est des problèmes de performance d'iTunes.
@softjo :
Je pense que les développeurs ne sont pas des ingénieurs pour la plupart. Pour faire un rapport de bug, il faut des outils d analyse que les développeurs de petit structure ne possèdent pas. Le reste est que de l empirisme. Un rapport de bug exige des logs clairs et des jeux de reproduction, la situation exacte de la machine et chaque processus. Voir Il existe des bugs aléatoires sur l on arrive pas reproduire. Il faut comprendre que les boîtes informatiques prennent en compte les rapports de développeurs connus ou de grosses SSII, consultants de haut vol.
C est un petit malin qui parle d'attaque par des outils de mots de passe. Mathématiquement, on prend un mot de passe de 4 caractère il y aura bien plus que 200000 combinaison. On a un minimum de 32 caractères. On applique 32 exp 4 on a plus d un million de possibilité. Or apple impose une majuscule qui renforce le nombre. Il faut déjà connaître l identifiant Si votre mot de passe est solide, vous avez le temps d attendre. Pour casser un mot de passe, on utilise des dictionnaire par exemple. Généralement, on doit connaître certains infos du propriétaire.
Nom, date anniversaire , lu tu de naissance. Rare sont les individus qui cherchent des mots de passe aléatoire. La taille minimum est de 10 ou 12 éléments. Chiffres, lettres minuscule et majuscule, un caractère non alpha Numerique et faire au moins une lettre et chiffres doubles. Ça rallonge les algorithmes de recherche. Éviter les nom de dico et etc. Donc c est vrai ça peut être très long. Mais le blocage du compte temporairement ne suffit pas. Tu dépend qui est derrière. si vous attaquez avec plusieurs machines, on peut déjouer le mécanisme de blocage. Ip est différente le système sera trompe.
Je maintiens que le pirate est dans l entourage des victimes ou de société qui travaille pour ses victimes. L attaque a du partir de twitter ou Facebook ou un échange de mail sur un compte l'ail protégé. Les cibles ont des critères communs.
Pages