Fuite de photos de stars : la responsabilité d'Apple est-elle engagée ?
Jennifer Lawrence, Kate Upton, Kirsten Dunst et une dizaine d'autres vedettes font partie des victimes d'un vol à grande échelle de photos dénudées. Réalisés dans un cadre privé, ces clichés n'auraient jamais dû sortir de la sphère intime, et cela a pourtant été le cas.
La nature de ces images volées n'a ici pas beaucoup d'importance, même si cela a participé à leur diffusion virale et à l'énorme buzz qui s'en est suivi — et qui se poursuit d'ailleurs. iCloud est, à tort ou à raison, dans l'œil du cyclone, même si les choses ne sont pas aussi claires qu'elles semblent le paraître. Difficile donc d'en vouloir à certaines des célébrités de s'en prendre directement à Apple et à son bouquet de services web.
L'affaire est d'autant plus importante pour Apple que le constructeur va lancer la nouvelle génération d'iPhone 6, l'iWatch et iOS 8 le 9 septembre, accompagnés de nouveaux services orientés santé qui tireront parti du nuage d'iCloud. Si la sécurité de photos n'est pas assurée, que dire alors du stockage de données aussi confidentielles que celles concernant sa santé (lire : iWatch : bracelet prévenant ou menotte numérique ?) ?
Pris dans la tourmente et pressé de réagir au plus vite, Apple n'a donc pas tardé à communiquer, via un communiqué mis en ligne sur son site web. En substance, la Pomme dédouane iCloud de tout problème de sécurité et en creux, semble mettre en cause les victimes, coupables de n'avoir pas créé de mots de passe forts ni activé l'authentification en deux étapes.
C'est là un cas d'école en matière de communication de crise, et une épreuve pour la cellule relations publiques du constructeur, dont le discours offensif et un rien bravache paraît déconnecté de l'émotion suscitée par ces fuites ; on l'attendait plus sur le registre de la compassion (lire : Comment Apple ne communique pas avec la presse). Car même s'il s'en défend, le constructeur de Cupertino a, sinon une part de responsabilité dans cette affaire complexe, au moins fait preuve d'une certaine légèreté.
Un emballement qui se transforme en scandale
Pour faire le point sur ce dossier baptisé « Celebgate » par la presse américaine, il faut remonter à l'origine de la fuite. Les premières images de stars dénudées ont été mises en ligne le 26 août. Des utilisateurs anonymes du forum Anon-IB postent sur le site de partage de photos (spécialisé dans la diffusion d'égoportraits volés de nus) quelques clichés privés de Jennifer Lawrence, des images récupérées en « piratant iCloud », dans le but de prouver qu'ils sont en possession de photos compromettantes.
Brian Hamade, alias BluntMastermind, tente ensuite de monnayer sur Reddit les clichés, au prix de 100$ l'image. Ce dernier nie cependant être à l'origine de la fuite, se « contentant » de receler les photos. Le 31 août, les photos commencent à apparaître sur 4chan, sorte de forum où l'on poste des images de manière anonyme, provoquant un emballement qui conduit à la mise en ligne de photos d'une centaine de célébrités, certaines assurant d'ailleurs que les images sont des faux (d'autres, comme Jennifer Lawrence, Kirsten Dunst ou Mary E. Winstead, ont reconnu l'authenticité des clichés qui les concernent). Pire encore, plusieurs célébrités apparaissant sur ces photos volées étaient encore mineures au moment des faits : ceux qui les partagent peuvent potentiellement être accusés de trafic d'images pédophiles.
Si les victimes ont obtenu de Twitter le retrait systématique des images partagées, il n'en reste pas moins qu'elles demeurent disponibles au téléchargement pour qui cherche un peu. Mais au delà de la diffusion répréhensible d'images à caractère privé, se nichent plusieurs enjeux au moins aussi importants : le traitement des femmes sur internet, le harcèlement en ligne, le droit à la confidentialité des données, la sécurité sur internet, sans oublier tout simplement la sécurité des personnes — les photos sont en en effet susceptible de contenir des métadonnées de localisation.
Si l'on ne peut décemment aborder tous ces sujets ici, on peut en revanche revenir sur le nœud central du dossier par lequel le scandale est arrivé.
Apple a-t-elle entrouvert la porte de son nuage ?
Le communiqué diffusé par Apple au terme de 40 heures d'enquête est clair : « Nous avons découvert que les données de certains comptes de célébrités ont été compromises par une attaque très ciblée sur les identifiants, mots de passe et questions de sécurité ». Plus loin, le constructeur précise qu' « aucun des cas que nous avons étudiés n'a résulté d'une violation d'un système d'Apple, y compris iCloud ou Localiser mon iPhone ». L'enquête se poursuit, tandis que le FBI mène, en lien avec Apple, ses propres investigations.
Comment les identifiants et mots de passe des célébrités ont-il pu être subtilisés ? La mise en œuvre de techniques d'ingénierie sociale peut aider : cette pratique de manipulation utilise les failles humaines afin de récolter des données confidentielles. Obtenir l'adresse courriel d'une vedette est relativement aisé pour celui qui veut bien fouiller sur les réseaux sociaux. Répondre aux questions de sécurité peut s'avérer assez simple pour celui qui connait bien la victime — la vie privée de ces personnalités s'étale généreusement dans la presse à potins.
En ce qui concerne le mot de passe, les pirates ont sans doute utilisé iBrute, un script Python disponible sur GitHub qui exploite une faiblesse du service Localiser mon iPhone. Ce bout de code essaie des milliers de combinaisons jusqu'à trouver le bon mot de passe (lire : Fuite de photos de stars nues : la faille liée à Localiser mon iPhone comblée). Une opération rendue d'autant plus facile si les célébrités usent de mots de passe faibles, comme de nombreux internautes et utilisateurs de services en ligne.
Si Apple bloque les tentatives d'authentification à un compte iCloud après cinq essais infructueux, une vulnérabilité dans l'API Localiser mon iPhone a permis de contourner cette protection. Sur la page GitHub d'iBrute, on a pu lire qu'Apple « venait de corriger la faille »… ce que le constructeur n'a pas confirmé. En revanche, il assure qu'aucune violation d'un de ses services n'est en cause.
Une fois en possession de ces informations obtenues par ingénierie sociale et force brute, les pirates ont pu avoir accès aux données et documents stockés sur le nuage iCloud des victimes. Mieux encore : les mots de passe utilisés pour protéger l'accès au compte iCloud ont sans doute permis de subtiliser des informations présentes sur d'autres services en ligne comme Dropbox. Les personnalités ont pu attribuer des mots de passe identiques à d'autres comptes internet, comme cela arrive trop souvent chez le commun des mortels.
iCloud, open-bar ?
En plus de l'accès aux comptes iCloud et à d'autres casiers numériques en ligne (plusieurs des photos de célébrités ont été prises avec des terminaux Android ou BlackBerry), les pirates ont sans doute utilisé un logiciel normalement destiné à des agences gouvernementales, comme l'écrit Wired. Elcomsoft Phone Password Breaker (EPPB), dont l'usage est l'objet de discussions sur Anon-IB, permet de télécharger les sauvegardes iCloud de n'importe quel utilisateur d'iPhone, pourvu qu'on possède ses identifiant et mot de passe. EPPB offre un accès à bien plus de données, d'informations, de photos et de vidéos des victimes qu'un simple sésame vers le compte iCloud en ligne. L'analyse des métadonnées des photos volées de Kate Upton montrent d'ailleurs qu'elles ont été subtilisées en utilisant iBrute et EPPB.
EPPB est le fruit d'un développement reposant sur l'ingénierie inverse. Les programmeurs de l'éditeur russe Elcomsoft n'ont pas utilisé de porte dérobée dans le code d'iOS, mais ils ont observé comment fonctionnait le protocole mis au point par Apple pour faire communiquer iCloud avec les serveurs du constructeur. La Pomme n'a pas collaboré avec Elcomsoft, qui a pignon sur rue et dont l'activité est tout à fait légale, contrairement à l'utilisation faite de son logiciel. Mais Apple pourrait faire en sorte qu'il soit plus difficile de mettre à profit les techniques d'ingénierie inverse sur ses technologies.
Si on peut toutefois difficilement estimer qu'Apple se rend complice d'un acte frauduleux, le constructeur a sans aucun doute la responsabilité de mieux sécuriser l'accès aux données stockées dans son nuage. Toujours dans son communiqué, Cupertino explique que les utilisateurs d'iCloud doivent mettre en place des mots de passe forts et activer l'authentification en deux étapes, un service qui mériterait une réelle mise en avant auprès du grand public, plutôt que de se limiter à une note obscure sur le site d'assistance. Seulement voilà, même si ces célébrités avaient utilisé ce système d'identification (et c'est sans doute le cas de plusieurs d'entre elles), ça n'aurait pas été suffisant.
En effet, ce système, qui consiste à recevoir un code sur un terminal de confiance (son iPhone, typiquement), ne couvre pas tous les services d'iCloud. Seuls sont protégés la gestion du compte iCloud (changement de mot de passe, par exemple), la possibilité de télécharger du contenu provenant des boutiques d'Apple sur un nouvel appareil iOS, ainsi que de permettre les communications entre l'utilisateur et le support d'Apple.
La restauration d'un terminal iOS à partir d'une sauvegarde iCloud ne nécessite pas le code de vérification fourni par le système d'authentification en deux étapes. L'utilisation d'un outil comme EPPB en est donc d'autant plus facile qu'il suffit aux pirates d'avoir sous la main l'identifiant et le mot de passe de leurs victimes.
Le logiciel était toujours utilisé ce mardi pour voler des photos compromettantes, mais aussi toutes sortes d'informations (courriels, historique d'appels, etc.) qui peuvent servir pour faire chanter les victimes. En ce qui concerne l'affaire qui nous occupe, plusieurs des clichés volés proviennent sans aucune doute des Flux de photos des célébrités, un service qui n'est pas non plus protégé par le système d'authentification en deux étapes. Apple, qui assure que la sécurité des données privées de ses utilisateurs est de « la plus haute importance », pourrait effectivement renforcer cette sécurité en étendant le principe de l'identification à deux étapes aux sauvegardes iCloud et au Flux de photos.
La récolte de ces images a, comme on le voit, nécessité un long travail qui peut difficilement se limiter à un pirate. Ces fuites sont visiblement le fruit de plusieurs mois de labeur crapoteux à fouiller dans des poubelles virtuelles dont certaines des clés ont sans doute été en possession d'Apple.
@jeanloupmarseille :
C'est très vrai.
Mais les gens oublient les autres affaires. Pourtant, elles sont au moins aussi préoccupantes.
Le maillon faible de tout moyen de sécurité est l'utilisateur.
Apple a fait un effort avec iOS 7 avec le cryptage automatique, mais je ne l'utilise pas.
Et pourtant, je devrais.
Apple devrait peut être en profiter lors de ce Keynote pour responsabiliser les utilisateurs de Cloud storing...
Dropbox, GoogleDrive, iCloud et il y en a pléthore.
Le défaut de sécurité est toujours présent sur icloud concernant les attaques en force brute.
Le défaut de sécurité est toujours présent concernant le fonctionnement du 2-step logon.
Apple n'a rien vu, ni rien corrigé, bravo le je m'enfoutisme.
On dément, on serre les fesses jusqu'à l'annonce des nouveaux produits et on se fiche totalement de la vie privée des clients.
@lmouillart :
Demande ça à Google, eux s'intéressent beaucoup à la vie privée de leurs clients. Tu vois moi aussi je peux troller, c'est très facile.
Si j'applique les règles de sécurité d'Apple (2step logon) et que je choisis un mot de passe faible, mon mot de passe est craqué en quelques secondes et j'ai accès à mes données privées.
Si j'applique les règles de sécurité de Google (2step logon) et que je choisis un mot de passe faible, mon mot de passe n'est pas craqué en quelques secondes et de toute façon même avec le mot de passe je n'aurais pas accès à mes données privées sans utiliser la vérification en 2 étapes.
Voyez-vous la différence et le problème du traitement des informations à caractère privé chez Apple ?
@lmouillart :
Je ne suis pas utilisateur des services Google, je ne peux donc pas vous challenger.
Donc, pour accéder à vos fichiers sur Google Drive ou chaque fois que vous relevez votre courrier (via web ou mobile ou tout client pop ou imap) vous avez un mot de passe à taper et un code aléatoire envoyé sur votre mobile ?
Très pratique d'usage les services Google !
Sur Android ou sur PC (pour les machines déclarées comme étant fiables) on peut placer un jeton ce qui pérennise l'authentification aux services sur des machines avec des systèmes biométriques par exemple.
Oui c'est pratique et bien fichu.
Pour l'imap ou autres service, un mot de passe complexe et long est généré pour cette application, il est révocable à la demande et dans la seconde.
Gros carton rouge pour apple ... Il pourrait quand même mieux sécuriser leur service
Suffit d'avoir un email. Ensuite on trouve sur Facebook la réponse aux questions "secrètes". C'est le cas pour la reinitialisation du mot de passe d'un paquet de site web.
Ici l'authent en deux étapes est nécessaire pour réinitialiser son mot de passe (avec la clé de secours) donc oui ce système aurait sûrement empêché les fuites...
Un peu HS (petit coup de gueule) mais vivement aussi que l'on voit la meuf de Bruno D. (kxen) et celles des autres clowns pour qui nos données (les plus intimes pourtant) n'ont plus rien de vraiment personnels, à poil ! Peut etre que les choses changerons à ce moment là.
Ah, lecteur MacG, tu ne savais pas !?! https://www.youtube.com/watch?v=XBbzvxfzKgI
Edit : Et j'en profite (ça vient juste encore de m'arriver) : Aux connards, qui passent leurs vies à me téléphoner pour me vendre leurs conneries, lâchez moi bordel, je suis inscrit sur une liste anti-prospection !
@bugman :
Cette émission était très intéressante.
Il y a quelques années (quelques...) je jouais à Ogame Univers 2.
En parallèle, il y avait des spécialistes pour "pirater / bloquer" des comptes.
Comment cela fonctionnait-il ?
1) Trouver l'identifiant MSN du type (genre Guzul32 => guzul32@msn.fr, pas super compliqué dans la plupart des cas, sinon souvent, c'est un champs renseigné dans les forums de la "guilde" ).
2) Lui envoyer un message d'alerte de vérification du MDP via la messagerie MSN.
3) Tester le MDP récupéré sur Ogame.
Taux de réussite : près de 100%
Quelques informations quand même :
Ogame était protégé contre les attaques brute force.
Ogame était protégé contre les login depuis plusieurs endroits en mm temps (c'est comme ça que le compte finissait par être bloqué)
Mais UNE SEULE tentative de connexion suffisait.
Donc ce n'est pas nouveau...
Ce qui est nouveau, c'est de ne protéger que faiblement des données TRES personnelles.
Quoi qu'en dise Apple, ces données sont plus importantes aux yeux du propriétaire qu'à celui d'Apple, Google, Dropbox...
Il serait bon de comprendre que c'est IDIOT, DANGEREUX, STUPIDE, SUICIDAIRE de faire confiance à un tiers sur les sujets que vous identifiez comme sensible.
Autrement dit, n'utilisez le cloud que pour faciliter la publication de choses que vous voulez bien publier... Garder votre vie privée loin d'internet !
Du bon sens.
Du mauvais sens, la violation de la vie privée n'a pas attendu internet pour exister. Si tu appliques la même règle que dans le cas du vol d'une clef USB et de la publication du contenu de cette clef, tu violes de la même manière la vie privée.
Ta conclusion est donc qu'il faut pas non plus mettre des données sensibles sur une clef USB, c'est sans fin.
C'est pour ça que tu as un truc, qui s'appelle le code civil et qui te protège de cette violation. Tu as également autre chose, un contrat (même à titre gratuit) avec la société fournissant le service.
Tu as un autre truc c'est la loi informatique et liberté qui bien que totalement inutile (vu que c'est déjà dans le code civil) doit te protéger encore plus (c'est pas le cas).
C'est notre conception (cad celle de nos lois en tout cas) en France, et une limite à la liberté d'expression, ce qui n'est pas le cas aux Etats-Unis.
C'est pas grave si on te tue, parce que l'auteur du meurtre sera hors la loi ?
Je parle de prévention des risques.
On peut faire des milliers de lois, si l'état n'est pas policier (une surveillance 100% de tous le monde) certains la contournerons.
Le fond du problème, c'est qu'Apple vend (Google, Microsoft...) un MENSONGE.
Le cloud serait un peu plus sécurisé si les données étaient automatiquement cryptées. Cependant, comment revendre des informations qu'on ne peut plus lire ? Comment partager simplement certaines informations sans avoir un système complexe de décryptage ?
En fait, techniquement, il existe une solution comme l'a montré le bitcoin (enfin, il y a là aussi des précautions à prendre en compte) mais aucune société seule ne peut garantir la sécurité des données. Il faut un réseau de calcul...
En conclusion, la loi, c'est bien, mais ça se base sur une logique de réparation.
Réparation, ça veut dire que le mal est fait !
Je suis d'accord et en désaccord avec toi :)
Je suis plutôt d'accord c'est du bon sens : iCloud sert à partager. Si l'on souhaite ne pas partager des photos quel est l'intérêt de les mettre dessus mise à part prendre un risque inutile.
iCloud ou tous les autres .. ils ne seront jamais sécurisés à 100% ce n'est pas possible.
On en rêve .. mais c'est un rêve, franchement tous les sites/services importants se sont fait piratés des données ces dernières années et c'est de pire en pire. Apple n'est malheureusement pas meilleur que les autres.
D'un autre côté, c'est un moyen de sauvegarde en ligne prévue pour ces données personnelles et activé par défaut lors de la configuration... :/
D'un côté comme de l'autre cela n'excuse en rien le dysfonctionnement de iCloud, Apple doit le corriger.
Mais malgré tout dans cette histoire :
- utiliser iCloud pour partager ou sauvegarder en ligne ces photos nues .. ce n'est pas vraiment du bon sens à la base.
- se faire pirater par force brute .. c'est faire preuve de négligence.
Très bon article.
Ce que je dis, stop au tout numerique, c'est pas une vie cela nous file que des problemes, il n'y aura jamais de vrai securite pour tout ce qui est concu par des humains....donc...bien fait pour leurs geules, la. Ou certains créé pour aider et faciliter d'autres reflechisent pour detruire ou pourrir la vie...c'est le ying et le yang equilibre des qu'on aura compris cela on ne confiera jamais son intimite a toutes histoires de nuages, d'ici la qu'on nous propose le soleil et la lune wait and see.....
C'est Woz (Steve Wozniak cofondateur d'Apple avec Steve Jobs, pour les non-initiés) qui avait raison !
Il y a 2 ans il déclarait : "Je suis vraiment inquiet de voir que l'on met tout dans le cloud [...] Je pense que ça va être terrible. Le cloud va être la source de beaucoup de gros problèmes dans les cinq prochaines années" . L'ingénieur enfonce le clou "Avec le cloud, on est dépossédé de tout. On signe pour ne plus posséder quoi que ce soit [...] plus on transfère de choses sur le web, dans le cloud, moins on aura le contrôle sur elles".
Les DropMachin et CloudChose doivent être pris pour ce qu'ils sont : Des espaces de stockage provisoires pour partager des données…
Et pour les fichiers sensibles, rien ne vaudra jamais un (ou plusieurs) bon(s) disques(s) dur(s) personnel(s) pour sauvegarder – nous-même – nos données !
Bah non, c'est celle du Pape qui est engagée ...
J'espère qu'on nous proposera pour Noël un petit eBook fait maison avec l'intégrale des articles estampillés "Jennifer Lawrence, Kate Upton, Kirsten Dunst, photoleak, fuite photos stars, iCloud, the fappening, etc." augmentée des courbes de connexions entrantes sur le site via ces mots-clés…
Pages