Fuite de photos de stars nues : la faille liée à Localiser mon iPhone comblée
Le mystère s'éclaircit autour de la divulgation de photos personnelles et dénudées de célébrités. C'est apparemment une faille dans le service Localiser mon iPhone qui a permis le piratage des comptes iCloud des victimes. Un script en Python publié sur GitHub permettait de réaliser une attaque par force brute sur des comptes iCloud par l'intermédiaire de l'API du service de localisation.
Autrement dit, ce script permettait d'essayer des milliers de combinaisons jusqu'à trouver le bon mot de passe. Si le mot de passe utilisé était très simple, l'opération pouvait être très rapide.
Apple bloque normalement pendant quelques minutes l'authentification à un compte iCloud après cinq essais infructueux, mais l'API de Localiser mon iPhone contenait une faille qui permettait de passer outre cette mesure de protection.
Une fois en possession du mot de passe, la personne malveillante avait accès à l'intégralité du compte iCloud, dont le flux de photos.
Apple a apparemment comblé cette faille il y a quelques dizaines de minutes. « Fini de s'amuser, Apple vient juste de corriger [la faille] », peut-on lire sur la page GitHub du script.
Il n'est toutefois pas certain que toutes les photos divulguées proviennent d'iCloud. Certains dossiers contenant les photos renferment des fichiers propres à Dropbox.
Pour éviter ce genre de déconvenues, outre utiliser un mot de passe fort, il est vivement recommandé d'activer la vérification en deux étapes. Un code de validation est envoyé sur un appareil censé être sûr (son smartphone, typiquement) quand on se connecte à partir d'un terminal ou d'un lieu différent. La vérification en deux étapes est disponible pour les services d'Apple, de Google et de Dropbox, entre autres.
Enfin... Tout est bien... qui fait flipper (un peu quand même) !
Une faille de sécurité pour le plus grand bonheur des fans
Je ne sais pas si on peut appeler "fan" des gens qui aiment se palucher devant des photos voler...
Le plus important est : ou peut-on trouver ces photos ? ^^
@tonton69 :
Bonne question, ceux qui les partageaient sur twitter se sont fait suspendre leur compte ^^
Regarder ces photos c'est approuver le vol de données privées, que ce soit des célébrités ou non ça ne change rien
Plutôt que des photos de starlettes nues, ils auraient mieux fait de récupérer la présentation de la prochaine Keynote sur l'iPad de Tim Cook.
@jeremiecroupotin :
Y'a déjà tellement de "leaks" que son iPad il doit même pas le connecté à internet, et il le range certainement dans un micro-ondes pour être sur de bloquer toutes les ondes pour réduires encore les chances de vol de données à distances
Des "stars" on s'en fous... Tant que c'est pas les utilisateurs !
Ces stars utilisaient le service et étaient donc bien aussi des utilisateurs. Tous les utilisateurs étaient concernés par cette faille!
Alors oui nos photos ont beaucoup moins d'attrait que celles de personnes exposées mais ça veut pas dire qu'on n'a pas de données sensibles autres que des photos comme le prouvent tous les vols d'identifiants et de mot de passe qui ont eu lieu ces derniers temps...
les dernières news semblent indiquer que ce sont des comptes dropbox qui ont été hackés
aussi, semble-t-il ...
http://blogues.journaldemontreal.com/williamreymond/actualite/derriere-les-nues-une-affaire-dropbox/
Activer le flux de photos avec des photos nu en plus quand t'es une star mondial c'est quand même dangeureux, elles seront plus attentives la prochaine fois.
@SIMOMAX1512
J'ai même envie de dire que c'est complètement con!
Raison de plus pour ne stocker aucune donnée sensible via le cloud notamment celui d'Apple
Il est surtout recommandé de fuir le cloud comme la peste ...
[supprimé]
@lmouillart :
Apple ID = iCloud ID il me semble.
@lmouillart :
Il me semblait aussi. Depuis que je l'ai activé d'ailleurs j'ai jamais eu à m'en servir. J'aimerai bien, comme avec Google par exemple, qu'à chaque fois que je me connecte sur la suite internet il me demande un code de sécurité.
@lmouillart :
Un compte iCloud se crée avec un Apple ID et y reste lié (mêmes identifiants et mdp).
L'authentification en deux étapes, si elle est activée, est requise pour se connecter à la page de configuration de son Apple ID (là où on peut changer le mdp).
C'est bien ce qu'il me semblait, donc on a la double authentification pour les boutiques en ligne Apple, mais pas pour les données privées ? C'est un choix bien curieux.
Je suis heureux d'avoir migré mes données chez Google il y a quelques années, Google s'en sert pour me proposer des publicités ciblés certes, mais au moins elle ne se baladent pas dans la nature.
@lmouillart
Parce que tu crois vraiment que tes données sont pas dans la nature ? Elles doivent être chez au moins cinquante régies publicitaires pas forcément super bien sécurisées...
Ce que tu peux par contre te dire c'est qu'il doit pas y avoir grand monde intéressé par des photos de nus de toi, à moins qu'en fait lmouillart ne soit le pseudo derrière lequel se cache Jean Dujardin ou Michel Galabru, mais j'ai quand même quelques doutes (et auquel cas tu peux par ailleurs te féliciter puisque ta couverture a super bien fonctionné)
Pour ce qui est d'Apple ID/iCloud. C'est la même chose. Tu peux te connecter à l'AppleStore avec ton ID Apple ou ton ID iCloud. En fait l'ID Apple c'est ton adresse mail de facturation (qui doit être différente de ton adresse iCloud) et donc c'est double vérification pour l'un comme pour l'autre.
"Pour ce qui est d'Apple ID/iCloud. C'est la même chose. Tu peux te connecter à l'AppleStore avec ton ID Apple ou ton ID iCloud. En fait l'ID Apple c'est ton adresse mail de facturation (qui doit être différente de ton adresse iCloud) et donc c'est double vérification pour l'un comme pour l'autre."
Chez moi ça ne fonctionne pas alors. J'ai la double authentification sur mon compte Apple ID pour acheter des choses, par contre je n'ai jamais rien reçu si je me connecte sur l'interface web iCloud.
"Parce que tu crois vraiment que tes données sont pas dans la nature ? Elles doivent être chez au moins cinquante régies publicitaires pas forcément super bien sécurisées..."
Je n'ai pas compris.
@joneskind :
Euh désolé de te dire ça mais y'a que toi que ça fait fantasmer de voir Jean Dujardin ou Michel Galabru nu.. T'es un peu bizarre comme type quand même..
Qui a dit que l'iPhone c'était exta sécurisé de la mort qui tue tout le monde ?
Je suis plié en 4.
[supprimé]
@lmouillart
C'est très juste.
Le problème c'est que bien souvent, les utilisateurs choisissent les mêmes identifiants pour iCloud, Dropbox, Facebook et le vieux site de torrent... Alors forcément, ça aide pas !
[supprimé]
c'est une faille de sécurité de quel ordre ? bug de programmation ou erreur de configuration ?
Sebastien
@apossium : Ca change quoi ? C'est sur le service (coté serveur).
On savait depuis longtemps que la sécurité n'est pas le point fort d'Apple.
D'un autre côté, être une star, prendre des photos de soi nu en activant le flux de photo sans penser à sécuriser au maximum ses données, j'appelle ça de la débilité profonde.
Enfin de toute façon ils vont pas s'en plaindre très longtemps, ça leur fait de la pub.
De la débilité profonde chez les stars d'aujourd'hui, ça m'étonnerait. :Smiley
Croyant lire "fuite de photos d'iPhone 6" j'ai sursauté sur mon tel :-(
Elles vont se retourner contre Apple.
Fuir le Cloud c'est la meilleure chose
Mais bon chacun fait comme il le souhaite
Mouais... Je demande quand même que vous publiez quelques photons parce que moi je dis que j'y crois pas. Non ? ^^
C'est un oiseau !!!! Non !!! C'est un avion !!!! NON !!!! C'est ... TROLLMAAAAAAAN !!! Amélioré avec une intelligence qui va moins vite !!!! Avec une ténacité à toute épreuve !!!! Résistant à tous les autres commentaires !!!! C'est ..... TROOOOOOOOLLMAAAAAAAN !!!!!!!
c'est toi le bouffon de service ?
La bonne blague juste avant le lancement de l iPhone 6 , ils sont nuls chez apple , des millions et des millions pour voir ça ! Bravo good job les gars
Je me demande ce que risque GitHub pour l'hébergement du script en question.
Et oui tu payes la qualité Apple...
Et vous voulez confier vos données médicales bancaires a ces branques par l intermédiaire de l iwatch , imaginez les dégâts... Fuyez je vous dis fuyez
@Fumée
Je pense que personne ne peux prétendre qu'un system est inviolable. Ce qui est quasi certain, c'est qu'Ios est bien mieux protégé qu'Android. Android est conçu pour pomper les données des utilisateurs car c'est le corps business de Google.
@pol2095
Je pense que personne ne peux prétendre qu'un system est inviolable. Ce qui est quasi certain, c'est qu'Ios est bien mieux protégé qu'Android. Android est conçu pour pomper les données des utilisateurs car c'est le corps business de Google
@daxr1der
Je pense que personne ne peux prétendre qu'un system est inviolable. Ce qui est quasi certain, c'est qu'Ios est bien mieux protégé qu'Android. Android est conçu pour pomper les données des utilisateurs car c'est le corps business de Google
serait-il possible de voir ces photos ? ( juste pour se faire une idée technique évidement)
@danielroibert
Vas donc sur twitter tu colle le nom de la personne plus linked : # machine linked
Colles
Leaked pardon
Pages