Fuite de photos de stars : la responsabilité d'Apple est-elle engagée ?

Mickaël Bazoge |

Jennifer Lawrence, Kate Upton, Kirsten Dunst et une dizaine d'autres vedettes font partie des victimes d'un vol à grande échelle de photos dénudées. Réalisés dans un cadre privé, ces clichés n'auraient jamais dû sortir de la sphère intime, et cela a pourtant été le cas.

La nature de ces images volées n'a ici pas beaucoup d'importance, même si cela a participé à leur diffusion virale et à l'énorme buzz qui s'en est suivi — et qui se poursuit d'ailleurs. iCloud est, à tort ou à raison, dans l'œil du cyclone, même si les choses ne sont pas aussi claires qu'elles semblent le paraître. Difficile donc d'en vouloir à certaines des célébrités de s'en prendre directement à Apple et à son bouquet de services web.

L'affaire est d'autant plus importante pour Apple que le constructeur va lancer la nouvelle génération d'iPhone 6, l'iWatch et iOS 8 le 9 septembre, accompagnés de nouveaux services orientés santé qui tireront parti du nuage d'iCloud. Si la sécurité de photos n'est pas assurée, que dire alors du stockage de données aussi confidentielles que celles concernant sa santé (lire : iWatch : bracelet prévenant ou menotte numérique ?) ?

Pris dans la tourmente et pressé de réagir au plus vite, Apple n'a donc pas tardé à communiquer, via un communiqué mis en ligne sur son site web. En substance, la Pomme dédouane iCloud de tout problème de sécurité et en creux, semble mettre en cause les victimes, coupables de n'avoir pas créé de mots de passe forts ni activé l'authentification en deux étapes.

C'est là un cas d'école en matière de communication de crise, et une épreuve pour la cellule relations publiques du constructeur, dont le discours offensif et un rien bravache paraît déconnecté de l'émotion suscitée par ces fuites ; on l'attendait plus sur le registre de la compassion (lire : Comment Apple ne communique pas avec la presse). Car même s'il s'en défend, le constructeur de Cupertino a, sinon une part de responsabilité dans cette affaire complexe, au moins fait preuve d'une certaine légèreté.

Un emballement qui se transforme en scandale

Pour faire le point sur ce dossier baptisé « Celebgate » par la presse américaine, il faut remonter à l'origine de la fuite. Les premières images de stars dénudées ont été mises en ligne le 26 août. Des utilisateurs anonymes du forum Anon-IB postent sur le site de partage de photos (spécialisé dans la diffusion d'égoportraits volés de nus) quelques clichés privés de Jennifer Lawrence, des images récupérées en « piratant iCloud », dans le but de prouver qu'ils sont en possession de photos compromettantes.

Jennifer Lawrence à la Comic Con en 2013. Photo Gage Skidmore CC BY-SA.

Brian Hamade, alias BluntMastermind, tente ensuite de monnayer sur Reddit les clichés, au prix de 100$ l'image. Ce dernier nie cependant être à l'origine de la fuite, se « contentant » de receler les photos. Le 31 août, les photos commencent à apparaître sur 4chan, sorte de forum où l'on poste des images de manière anonyme, provoquant un emballement qui conduit à la mise en ligne de photos d'une centaine de célébrités, certaines assurant d'ailleurs que les images sont des faux (d'autres, comme Jennifer Lawrence, Kirsten Dunst ou Mary E. Winstead, ont reconnu l'authenticité des clichés qui les concernent). Pire encore, plusieurs célébrités apparaissant sur ces photos volées étaient encore mineures au moment des faits : ceux qui les partagent peuvent potentiellement être accusés de trafic d'images pédophiles.

Si les victimes ont obtenu de Twitter le retrait systématique des images partagées, il n'en reste pas moins qu'elles demeurent disponibles au téléchargement pour qui cherche un peu. Mais au delà de la diffusion répréhensible d'images à caractère privé, se nichent plusieurs enjeux au moins aussi importants : le traitement des femmes sur internet, le harcèlement en ligne, le droit à la confidentialité des données, la sécurité sur internet, sans oublier tout simplement la sécurité des personnes — les photos sont en en effet susceptible de contenir des métadonnées de localisation.

Si l'on ne peut décemment aborder tous ces sujets ici, on peut en revanche revenir sur le nœud central du dossier par lequel le scandale est arrivé.

Apple a-t-elle entrouvert la porte de son nuage ?

Le communiqué diffusé par Apple au terme de 40 heures d'enquête est clair : « Nous avons découvert que les données de certains comptes de célébrités ont été compromises par une attaque très ciblée sur les identifiants, mots de passe et questions de sécurité ». Plus loin, le constructeur précise qu' « aucun des cas que nous avons étudiés n'a résulté d'une violation d'un système d'Apple, y compris iCloud ou Localiser mon iPhone ». L'enquête se poursuit, tandis que le FBI mène, en lien avec Apple, ses propres investigations.

Comment les identifiants et mots de passe des célébrités ont-il pu être subtilisés ? La mise en œuvre de techniques d'ingénierie sociale peut aider : cette pratique de manipulation utilise les failles humaines afin de récolter des données confidentielles. Obtenir l'adresse courriel d'une vedette est relativement aisé pour celui qui veut bien fouiller sur les réseaux sociaux. Répondre aux questions de sécurité peut s'avérer assez simple pour celui qui connait bien la victime — la vie privée de ces personnalités s'étale généreusement dans la presse à potins.

En ce qui concerne le mot de passe, les pirates ont sans doute utilisé iBrute, un script Python disponible sur GitHub qui exploite une faiblesse du service Localiser mon iPhone. Ce bout de code essaie des milliers de combinaisons jusqu'à trouver le bon mot de passe (lire : Fuite de photos de stars nues : la faille liée à Localiser mon iPhone comblée). Une opération rendue d'autant plus facile si les célébrités usent de mots de passe faibles, comme de nombreux internautes et utilisateurs de services en ligne.

Si Apple bloque les tentatives d'authentification à un compte iCloud après cinq essais infructueux, une vulnérabilité dans l'API Localiser mon iPhone a permis de contourner cette protection. Sur la page GitHub d'iBrute, on a pu lire qu'Apple « venait de corriger la faille »… ce que le constructeur n'a pas confirmé. En revanche, il assure qu'aucune violation d'un de ses services n'est en cause.

Une fois en possession de ces informations obtenues par ingénierie sociale et force brute, les pirates ont pu avoir accès aux données et documents stockés sur le nuage iCloud des victimes. Mieux encore : les mots de passe utilisés pour protéger l'accès au compte iCloud ont sans doute permis de subtiliser des informations présentes sur d'autres services en ligne comme Dropbox. Les personnalités ont pu attribuer des mots de passe identiques à d'autres comptes internet, comme cela arrive trop souvent chez le commun des mortels.

iCloud, open-bar ?

En plus de l'accès aux comptes iCloud et à d'autres casiers numériques en ligne (plusieurs des photos de célébrités ont été prises avec des terminaux Android ou BlackBerry), les pirates ont sans doute utilisé un logiciel normalement destiné à des agences gouvernementales, comme l'écrit Wired. Elcomsoft Phone Password Breaker (EPPB), dont l'usage est l'objet de discussions sur Anon-IB, permet de télécharger les sauvegardes iCloud de n'importe quel utilisateur d'iPhone, pourvu qu'on possède ses identifiant et mot de passe. EPPB offre un accès à bien plus de données, d'informations, de photos et de vidéos des victimes qu'un simple sésame vers le compte iCloud en ligne. L'analyse des métadonnées des photos volées de Kate Upton montrent d'ailleurs qu'elles ont été subtilisées en utilisant iBrute et EPPB.

EPPB est le fruit d'un développement reposant sur l'ingénierie inverse. Les programmeurs de l'éditeur russe Elcomsoft n'ont pas utilisé de porte dérobée dans le code d'iOS, mais ils ont observé comment fonctionnait le protocole mis au point par Apple pour faire communiquer iCloud avec les serveurs du constructeur. La Pomme n'a pas collaboré avec Elcomsoft, qui a pignon sur rue et dont l'activité est tout à fait légale, contrairement à l'utilisation faite de son logiciel. Mais Apple pourrait faire en sorte qu'il soit plus difficile de mettre à profit les techniques d'ingénierie inverse sur ses technologies.

Si on peut toutefois difficilement estimer qu'Apple se rend complice d'un acte frauduleux, le constructeur a sans aucun doute la responsabilité de mieux sécuriser l'accès aux données stockées dans son nuage. Toujours dans son communiqué, Cupertino explique que les utilisateurs d'iCloud doivent mettre en place des mots de passe forts et activer l'authentification en deux étapes, un service qui mériterait une réelle mise en avant auprès du grand public, plutôt que de se limiter à une note obscure sur le site d'assistance. Seulement voilà, même si ces célébrités avaient utilisé ce système d'identification (et c'est sans doute le cas de plusieurs d'entre elles), ça n'aurait pas été suffisant.

En effet, ce système, qui consiste à recevoir un code sur un terminal de confiance (son iPhone, typiquement), ne couvre pas tous les services d'iCloud. Seuls sont protégés la gestion du compte iCloud (changement de mot de passe, par exemple), la possibilité de télécharger du contenu provenant des boutiques d'Apple sur un nouvel appareil iOS, ainsi que de permettre les communications entre l'utilisateur et le support d'Apple.

La restauration d'un terminal iOS à partir d'une sauvegarde iCloud ne nécessite pas le code de vérification fourni par le système d'authentification en deux étapes. L'utilisation d'un outil comme EPPB en est donc d'autant plus facile qu'il suffit aux pirates d'avoir sous la main l'identifiant et le mot de passe de leurs victimes.

Le logiciel était toujours utilisé ce mardi pour voler des photos compromettantes, mais aussi toutes sortes d'informations (courriels, historique d'appels, etc.) qui peuvent servir pour faire chanter les victimes. En ce qui concerne l'affaire qui nous occupe, plusieurs des clichés volés proviennent sans aucune doute des Flux de photos des célébrités, un service qui n'est pas non plus protégé par le système d'authentification en deux étapes. Apple, qui assure que la sécurité des données privées de ses utilisateurs est de « la plus haute importance », pourrait effectivement renforcer cette sécurité en étendant le principe de l'identification à deux étapes aux sauvegardes iCloud et au Flux de photos.

La récolte de ces images a, comme on le voit, nécessité un long travail qui peut difficilement se limiter à un pirate. Ces fuites sont visiblement le fruit de plusieurs mois de labeur crapoteux à fouiller dans des poubelles virtuelles dont certaines des clés ont sans doute été en possession d'Apple.


avatar enzo0511 | 

Donc une attaque sur les identifiants et les mots de passe pour Apple ce n'est pas un gros trou de gruyère dans la sécurité ?

Quel beau déni qd même

Si cette affaire n'avait pas éclaté, Dieu sait combien de particuliers ont déjà eu leurs comptes iCloud piratés

avatar Pizoo (non vérifié) | 

"Pire encore, plusieurs célébrités apparaissant sur ces photos volées étaient encore mineures au moment des faits : ceux qui les partagent peuvent potentiellement être accusés de trafic d'images pédophiles."

Faux. C'est une rumeur ça aussi. Ca concerne une seule des nanas et ça a été démenti.

avatar Stéphane Moussie | 
@Pizoo : après vérification, cela concerne bien deux filles et je n'ai trouvé de démenti nulle part. Mais si je suis passé à côté je veux bien le lien vers le démenti.
avatar 33man | 

Je ne veux rien dire mais si mademoiselle celeb1 a le même mot de passe et identifiant sur xxxx sites, bah il suffit que le pirate récupère ces derniers sur un de ces sites, genre Tinder ou autre et hop on prend les photo sur le cloud....

Donc pas de faille Apple... Mais après si effectivement il n'y a pas de bloquage d essai de login après genre 5 tentatives c'est une faiblesse d'Apple. Après il sera toujours débat du responsable...

J'ai un coffre fort inviolable mais je laisse mes clés dans la serrure... Est ce que je peux attaquer le fabricant du coffre ? Bof bof...

Après moi je suis perplexe, car on parle des US et de millions de dommages intérêts, mais on laisse le principal inculpé (Apple) investiguer et potentiellement effacer les traces... Bof bof

avatar Wolf | 

@33man :"mais on laisse le principal inculpé (Apple) investiguer et potentiellement effacer les traces"
C'est normal aux USA, car si en plus Apple venait a mentir la sentence serait mille fois pire, donc il vaut mieux que cela ne coûte rien a la justice qui vérifiera les données et qui validera ou pas les résultats d'Apple.
On peut tricher aux USA, mais mieux vaut pas se faire prendre.

avatar elamapi | 

Apple le dit clairement et distinctement dans son communiqué:

« Nous avons découvert que les données de certains comptes de célébrités ont été compromises par une attaque très ciblée sur les identifiants, mots de passe et questions de sécurité »

Et tout le monde a put tester iBrute.py pour voir qu'effectivement, il n'y avait pas de blocage au dela de 5 tentatives.

Donc, à proprement parler, Apple a raison... il n'y a PAS de faille, c'est un fait. Une personne qui n'a PAS le mot de passe ne peut PAS se connecter c'est vrai. iCloud est sécure, pas de soucis la dessus.

Et Apple à encore raison sur le principe en précisant que les victimes en sont pour leur frais en ayant choisit des mots de passe trop faible.

Seulement voila, je vais citer des évidences et des platitude, mais quand on est Apple. Quand on véhicule une image de fiabilité. Quand on est le jouet préféré des stars. Quand on sait que les gens font des selfies hot. Quand on sait que les gens choisissent des mots de passe facile.

On DOIT mettre en place des methodes pour prévénir ce genre de soucis.

C'est d'autant plus paradoxal qu'Apple (et les fanboys) justifient sans problème la prison dorée dans laquelle ils sont enfermé et les décisions unilatérales dans le but de SECURISER les appareils.

Apple à fait une boulette, il y a eut une erreur en ne bloquant pas les essais consécutifs.

Si Apple n'avait pas été si prétentieux, ils auraient dit :

"Nous sommes désolé, il y a eut defaut de sécurisation, qui n'est pas une faille a proprement parler, permettant de multiple essais, nous avons corrigé, et il n'y a plus de raison de s'inquiter"

Au lieu du sous entendu a peine cache:
"Bande d'imbéciles, vous utiliseriez de vrais mots de passe, vous n'auriez pas ces soucis" (genre, la fille qui se fait agresser, c'est sa faute, elle n'avait qu'à porter un pull laine et un pantalon en velour maron de papy).

Oubliant de fait un détails important. Les selfies était probablement destiné à être envoyé à quelqu'un. Vous pouviez avoir le mot de passe le plus secure du monde, si l'autre en face en a un faible, vous êtes mort quand même !!!!

avatar Soner | 

@elamapi :
Bonne analyse. Dans un tout autre registre ça me rappelle l'Antennagate, qui avait quand même donné droit à des réponses du style vous tenez mal votre téléphone.

avatar bugman | 

"effectivement, il n'y avait pas de blocage au dela de 5 tentatives. Donc, à proprement parler, Apple a raison... il n'y a PAS de faille"

C'est moi ou ça ne tiens pas debout ce que tu dis ? Il y a une faille, celle de ne pas bloquer le nombre de tentative.

...Comme il y a la faille aussi de ne pas obliger l'utilisateur de choisir un mot de passe un peu plus fort.

Alors, oui, Apple pour moi à une certaine responsabilité (au moins aussi importante que celle de l'utilisateur). Effectivement, nous sommes en accord sur cette question.

avatar trolloloI | 

Ca doit être faille dans le sens, accéder aux données en ayant besoin juste de l'ID et rien d'autre et sans même avoir à chercher quel est ce foutu mdp.

Que le mpd se faible ou fort ça ne change rien, le nombre de tentatives possibles étant illimités, quelque serveur web en parallèle qui font tourner X instances d'un bruteforce aurait donner le même résultat sur des mdp plus coriaces. Ya donc bien une faille...

avatar ingrDxX | 

D'une part Apple est effectivement en faute si elle ne prend pas la peine d'activer les sécurités adéquates sur tous ses services.
D'autre part si les gonzesses s'était pas photographiées nue, il n'y aurait pas eu de soucis, alors par pitié qu'on arrête de nous emmerder avec cette affaire sous prétexte que ce sont des personnes connues.
Que doit en penser madame martin, qui elle n'est pas connue, et qui s'est fait voler ses photos où elle posait nue avec son rhododendron ?

avatar Mickaël Bazoge | 
« D'autre part si les gonzesses s'était pas photographiées nue, il n'y aurait pas eu de soucis, alors par pitié qu'on arrête de nous emmerder avec cette affaire sous prétexte que ce sont des personnes connues. » La question n'est pas là. Le problème, c'est : est-ce qu'Apple a un problème au niveau de la sécurité et de la communication autour des problèmes de sécurité. Après, les questions de morale et de ce qu'on fait de son smartphone, ça reste privé.
avatar ingrDxX | 

Apple et la communication, ça n'a jamais fais 1, et je ne parle pas que pour cette affaire-là.
Si Apple fait peut d'effort concernant la sécurité de ses services, il faut qu'une commission vienne lui taper au porte-monnaie pour la rappeler à l'ordre. C'est malheureux à dire mais il n'y a que ça qui fait réagir Apple.

Tu as parfaitement raison quand tu dis que ce qu'on fait de son smartphone doit rester privé. Mais là en l'occurence c'est malheureusement devenu public, et j'entends du Jennifer Lawrence, du Kristel Dust du Kate Upton partout alors que vraiment, ces personnes là je m'en fiche comme de l'an 40.

Personnellement, si je suis MacG c'est pour avoir des infos d'ordre technologique relative à Apple (et aussi un tout petit peu parce qu'a la rédac' de MacG ils sont cools), et quand je parles de technologies, j'entends des infos hardwares.

Je ne suis pas très "fan boy", j'ai du mal à concevoir comment certaines personnes peuvent adulées d'autres personnes, mais ça c'est un autre sujet. Et quand j'entends à longueur de journée "Kate Upton, s'est fait volé des photos où elle était nue" alors qu'a priori elle n'a rien à voir avec Apple ça me gonfle vraiment.

avatar elamapi | 

Mais votre honneur, c'est sa faute si je l'ai violé, elle était en mini jupe.

C'est ton raisonnement ça non ?

Les victimes sont les victimes, point !

On peut discuter de la responsabilité d'apple, ou du pirate, mais les victimes reste des victimes.

avatar Ast2001 | 

Excellent article qui montre que la réponse d'Apple, peut-être vraie factuellement parlant est complètement à côté de la plaque en terme de communication d'entreprise. Cela fait penser un peu à la communication autour de l'antennagate qui a commencé par des communiqués légèrement méprisants d'Apple (du style vous n'avez qu'à bien tenir votre iPhone) puis qui s'est terminé par l'envoi en masse de bumpers gratuits.

avatar Mickaël Bazoge | 
C'est effectivement à ça que ça fait penser.
avatar nicodu13e | 

Ca me fait bien rigoler tout ca moi. Vazy essaye de faire une attaque ciblée sur un compte ICloud apple. Demain ta le FBI à ta porte. Deuxième chose, toute cette histoire tombe comme par hasard juste avant l'annonce d'Apple sur probablement un système de paiement et le système apple health. Bien sur ca n'a rien à voir mais avec les amalgames des journalistes ... Un bon plan com signé "la concurrence".

avatar Mickaël Bazoge | 
On peut gloser tant qu'on veut sur la théorie du complot, toujours est-il que cette affaire a montré qu'il y avait quelque chose qui n'allait pas dans la sécurisation des données chez Apple.
avatar elamapi | 

Et alors, même en admettant que samsung et google aient volontairement fait ça ... ça excuse apple pour autant ?

c'est bizarre comme raisonnement.

avatar vache folle | 

@enzo0511
Le gruyère n'a pas de trous, contrairement à la croyance populaire. ;)

avatar enzo0511 | 

@vache folle :
Ce celebgate m'aura au moins appris cela :)

avatar rondoudou | 

@vache folle :
Il n'y a pas un type de gruyère mais deux: suisse et français.

et comme macg est français, pour nous c'est avec des trous :)

avatar Lymf | 

@vache folle :
Merci!

avatar Darth Philou (non vérifié) | 

En fin de compte la root cause n'est pas encore déterminée. Ce ne sont que des spéculations.

Sur la fin de l'article. Comment les meta données d'une image permettent-elles de savoir que celle-ci à été téléchargée après avoir récupérer le mot de passe du compte par force brute ???

Enfin, sur le fameux soft. À partir du moment où l'identifiant et mot de passe ont été récupérés comment voulez-vous protéger l'accès ??? Sauf à n'autoriser que certains "clients" (comment vont-ils d'authentifier ?) et à pourrir l'expérience utilisateur pour l'usage normal.

avatar youpla77 | 

"Enfin, sur le fameux soft. À partir du moment où l'identifiant et mot de passe ont été récupérés comment voulez-vous protéger l'accès ???"
Par une authentification double facteur comme le fait apple sur certains de ces services, comme le font certaines banques. Même le double facteur ne résout pas tous les problèmes mais limite quand même la casse.
Alors oui c'est moins facile d'accès, mais à toi de voir ce que tu préfères : sécurité ou facilité d'utilisation.

avatar Darth Philou (non vérifié) | 

@youpla77 :
C'est bien ce que je dis : on pourrit l'expérience utilisateur.
Vous vous voyez faire une double authentification chaque fois que vous voulez regarder une photo ou accéder à un de vos docs ?

Ce sera tellement contraignant que les utilisateurs désactiveront ou n'utiliseront pas le service.

De plus avec une double authentification comment faites-vous les sauvegardes auto ?

Bref, la double authentification n'est pas la solution.

avatar trolloloI | 

Ou un certificat ssl perso générer via le compte icloud et que t'installes uniquement sur les machines lié à ce même compte icloud. La à moins d'avoir un accès physique à l'un des machines le possédant, ou une faille dans l'algo pour le générer c'est tranquille.

avatar elamapi | 

@Darth Philou

Double authent, même avec log/pass tu peux rien faire.

le hic, c'est que la double authen tu peux difficilemenet la mettre en place dans le cas de "localiser mon iphone", car si pour localiser ton iphone, il faut ton iphone pour avoir le token ... t'es mort".

Mais ca, apple a juste oublié de le dire ... il fallait donc BLOQUER les tentative MULTIPLE, point barre.

Ils ont merdé, ca arrive, c'est la vie, suffisait de le reconnaitre.

avatar elamapi | 

@youpla77

cf mon post au dessus, il ne peut pas y avoir de double authent avec la fonction localiser mon iphone ...

sauf si apple se met a vendre des token physique (porte clef). Mais je n'en ait pas encore vu.

avatar Olf | 

Écoutez les gars, soit vous vous fiez aux déclarations officielles qui ont été faites, soit vous menez une enquête sérieuse, soit vous attendez les résultats de l'enquête officielle. C'est comme ça que la presse est sensée fonctionner... enfin, la presse de qualité.
Faire un article par jour basé sur du vent, ça rime à rien.

avatar Mickaël Bazoge | 
Est-ce que tu as réellement lu l'article ?
avatar arekusandoro | 

@MickaëlBazoge :
Je pense pas :) l'article est très bien je trouve.

avatar Olf | 

@arekusandoro :
Excuse moi de ne pas trouver bien un article résumé de toutes les rumeurs, quitte à mettre au même plan thèse et anti thèse, et qui n'apporte aucune réponse autre que de confirmer que c'est le flou total.

avatar elamapi | 

Ben y a pas que du vent:
1- On a tous put tester iBrute.py et voir qu'il n'y avait pas de restriction sur le nombre d'essais
2- Il est logique de comprendre qu'on ne peut pas demander a l'utilisateur d'avoir son iphone sur lui (pour la double authentification) quand justement, il cherche à le localiser (donc, qu'il ne l'a plus).
3- Tout un chacun a donc put essayer plein de login/passwod.

Ca c'est du factuel.

Et ce qui est tout aussi factuel, c'est ce qu'a dis Apple. "Il n'y a pas de faille", a savoir, quelqu'un qui n'entre PAS le login/password d'iCloud n'a PAS accés a iCloud.

Ce que la justice devrai certainement déterminer, c'est si La responsabilité d'Apple peut être engagé quand au fait d'avoir put permettre (par erreur) au pirate de tester les mots de passe.

pour les imbéciles qui ont fait circuler les photos, quand à eut, il n'y a rien à discuter: coupable, la justice decidera de leur peine.

avatar Domsware | 

Je suis étonné que dans cette histoire n'est pas évoquée l'affaire Heart Bleed qui est susceptible d'avoir permis la récupération de millions d'identifiants / mots de passe. Sans parler des déboires de Sony, Dropbox...
Car une hypothèse ni négligeable c'est que les identifiants et/ou mots de passe proviennent de là.

avatar elamapi | 

C'est une possibilité, mais il fallait encore connaitre le site sur lequel la star se connecte, s'y connecter au bon moment et savoir quoi chercher (le login).

Autant de grande star bien connu, avec des selfie d'iphone (on peut difficiement manque la pomme dans le mirroir ... ), ça fait beaucoup de coïncidences.

Quand à savoir si ça venais d'un autre cloud, moé, peut être.

Mais quand on voit les réponse de certaine star qui pensaient sincerement avoir éffacé les photos en les supprimant de l'iphone, on se demande si ces gens la sont allés se payer un abo chez OVH/Amazon/Dropbox ....

Faut remettre les choses dans leurs contexte aussi.

Un non technophile, qui achete un smartphone "hype", pas un mec de chez macgé ....

avatar trolloloI | 

"C'est une possibilité, mais il fallait encore connaitre le site sur lequel la star se connecte, s'y connecter au bon moment et savoir quoi chercher (le login)."

Sur des sites à gros traffic fallait soit sniffer pendant des heures, soit tomber pile à l'instant où les infos, d'une personne bien spécifique, passait dans la mémoire de la machine pour se retrouver dans les quelques dizaines de Ko de données récupérées.

avatar Philactere | 

Je penses qu'en 2014, qu'on puisse user de force brute sur des systèmes dit sécurisés contenant des données personnelles de ses clients est une faute du fournisseur de service.

Venant du site web de mon charcutier je pardonne, ce n'est pas son métier et il n'a pas du le payer chère son site, mais venant d'un géant de l'informatique me laisse pantois.

avatar iplouch | 

Les bijouteries sont sécurisées, les banques aussi et elles se font braquer.
Il faut être bien naïf pour imaginer le "cloud" comme un support totalement sécurisé, que ce soit pour Apple ou d'autres...

avatar arekusandoro | 

@iplouch :
Le problème n'est pas la...c'est surtout de dire "non c'est pas nous" et les internautes ici dans un autre article sur le même sujet qui soutenaient alors qu'ils n'en savaient rien que Apple était...comme toujours...blanc comme neige...

avatar Mithrandir | 

Mouais, je met "aaaa" comme mot de passe, je me fait hacker, mais le fournisseur de service est responsable ? Parfois il faut aussi arrêter de faire du buzz parce que c'est Apple.

avatar bugman | 

@Mithrandir : Si je prends la responsabilité de garder tes informations personnelles (et surtout t'invite (à la limite de te forcer (je pense ici à leur futur photomachinchose) à le faire), je prends quelques précautions. Entre autre te forcer à mettre autre chose qu'un "aaaa" comme mot de passe.

avatar Mithrandir | 

@bugman :
Je regrette, il y a un million de services sur le Web, si chacun avait des règles contraignantes (et évidemment différentes) ce serait l'enfer. On a quelques services au boulot avec des règles de mots de passé contraignantes et différentes, et c'est déjà l'enfer.

avatar bugman | 

"On a quelques services au boulot avec des règles de mots de passé contraignantes et différentes, et c'est déjà l'enfer."
Ton boss a fait un choix, celui de ces données (certainement pas celui de t'emmerder). Je t'invite à en discuter avec lui. Il te répondra peut être que c'est le prix a payer.

avatar xaviyeah | 

Apple peut voir sa responsabilité engagée en fonction de ce qui est écrit dans les CGU, s'il est écrit clairement qu'Apple déplore toute responsabilité en cas de subtilisation de mot de passe de la part d'un tiers, ce qui est le cas, pas de responsabilité. Elle n'a qu'une obligation de moyen. Elle doit mettre tous les moyens en œuvre pour protéger son système. Un juge sera bien sûr saisi, et à lui de déterminer si l'absence de faille suffit Apple à s'exonérer de D&I, où si le non blocage après x essais la met en faute.

avatar trolloloI | 

"Elle n'a qu'une obligation de moyen. Elle doit mettre tous les moyens en œuvre pour protéger son système."

Justement il n'tait pas protéger, s'il avait récup l'ID de cook ils auraient aussi pu passer du temps à bruteforce son compte pour leak les infos qu'il a sur son compte icloud.

C'est de la négligence caractérisée.

avatar xaviyeah | 

@trolloloI :
Je suis totalement d'accord. Cependant, c'est un juge (sûrement) qui décidera de ça. Le fait de forcer à mettre des majuscules et tout ne suffit-il pas pour dire qu'on a essayé de protéger ? La loi américaine est très compliquée. En plus, si ça se trouve, il y a une clause dans les CGU (que personne ou presque ne lit), qui dit qu'en cas de hack par force brute, elle s'exonère de responsabilité. Et hop c'est plié. (Après, aux avocats de lire les CGU, nous avons autre chose à faire sur MacG !). Enfin, même si Apple est déclaré responsable, il ne le sera que sur le plan Civil (c'est n'es pas une infraction pénale), et ne sera condamné qu'à verser des dommages et intérêts, et pas de leur poches, c'est leurs (excellentes je pense) assurances qui paieront.
La finalité de cette histoire n'est qu'une mauvaise publicité, étant donné que les médias relaient des fausses informations, et que le droit civil américain est tel que peu de français le comprennent.

avatar Darth Philou (non vérifié) | 

L'article ne confirme pas que c'est la force brute sur le service de localisation qui a permis de récupérer les mots de passe.

C'est juste une supposition liée au timing de la mise à disposition du script python.

Bref, il n'y a aucune preuve !

avatar jeanloupmarseille | 

Je ne suis pas spécialiste mais je sais néanmoins que la plus part des systèmes informatiques pourraient se trouver confronté aux mêmes problèmes que ceux que vous décrivez dans cet article dont je ne vois par ailleurs pas vraiment l'intérêt mais qui tend à confirmer qu'Apple n'a pas été coupable de négligence.
Bon nombre de sociétés ont déjà été victimes d'attaques extrêmement graves.
Simplement ces société-là, parfois éminemment connues, ne sont pas Apple et n'ont pas programmé une conférence d'une importance capitale le 9 septembre...
S'agissant de photos de starlettes dénudées, le sujet deviendrait-il soudainement plus passionnant ?
Wouaip...
Pourtant, souvenez-vous...
Adobe : 150 millions de clients concernés par une attaque (adresse mail, mot de passe) parce que la société n'avait pas utilisé de chiffrement basiques. Pas assez sexy ?
eBay : 145 millions d’utilisateurs concerné (noms, mots de passe, adresses e-mail, dates de naissance, adresses postales ou encore numéros de téléphone)... Aucun ne devait jouer dans Hunger Game !
Sony : 77 millions d’utilisateurs sur le PlayStation Network (dont plus de 2 millions avec des coordonnées bancaires)... Pas assez people...

On ne parlera même pas de Google et des nombreuses attaques donc la société est victime notamment en Chine.
Orange en France il y a si peu de temps…
Il s'agit là vols massifs de données... Pas d'attaques ciblées autour de quelques jolies filles.
C'est donc évidemment beaucoup moins excitant mais de toute évidence beaucoup plus grave.
Même s'il est évident qu'Apple comme toutes les autres sociétés ne peut pas s'exonérer de travailler sans cesse à rendre plus sûr l'accès à nos données personnelles,
Je ne crois pas que le buzz auquel on assiste autour de cette affaire n'ait d'autre objectif que de ternir l'image d'Apple.

avatar Mithrandir | 

@jeanloupmarseille :
C'est effectivement certainement pas très loin de la vérité...

avatar Darth Philou (non vérifié) | 

@jeanloupmarseille :
Entièrement d'accord.

Pages

CONNEXION UTILISATEUR