Fuites de photos : Apple réfute toute faille de sécurité
Apple fait ce soir un point sur son enquête autour d'un supposé hack d'iCloud et du service Find my iPhone. Il en résulte, dans sa déclaration, qu'il n'y a pas de faille de sécurité sur ses serveurs à l'origine de cette affaire.
Après 40 heures d'enquête, nous avons découvert que les données de certains comptes de célébrités ont été compromises par une attaque très ciblée sur les identifiants, mots de passe et questions de sécurité, une pratique devenue beaucoup trop commune sur internet
Plus important encore, le constructeur précise qu'il n'y a pas eu d'exploitation d'une faille technique.
Aucun des cas que nous avons étudiés n'a résulté d'une violation d'un système d'Apple, y compris iCloud ou Localiser mon iPhone. Nous continuons de travailler avec la police pour aider à identifier les criminels impliqués.
En somme, on se dirigerait plutôt vers une affaire d'ingénierie sociale. Apple, ne fait aucune mention d'une faiblesse de son service Localiser mon iPhone face à une attaque par force brute pour tester des mots de passe à la chaîne sur des comptes dont aurait déjà deviné ou obtenu l'identifiant. Un défaut qui avait été discrètement corrigé hier d'après celui qui en avait fait la découverte.
Dans l'explication fournie, la faute de cette subtilisation de photos en revient plutôt à la légèreté de certains mots de passe choisis par leurs utilisateurs et à l'absence d'activation de la fonction de double identification sur les comptes en question. C'est justement dans ce sens qu'Apple enjoint les utilisateurs de se tourner pour renforcer la sécurité entourant leur compte iCloud (fiche technique). Un dispositif qui mériterait d'être mieux mis en avant plutôt que confiné dans une fiche technique hors de portée de la majorité des utilisateurs.
Il avait été aussi dit que des photos avaient été récupérées de comptes Dropbox. Apple n'aborde pas ce volet de l'affaire mais on peut aisément supposer que certaines victimes utilisaient des identifiants et mots de passe communs entre les services. Une pratique pour le coup aussi très courante. Armé d'une bonne information d'identification liée à un service, rien de plus facile pour le malandrin d'aller la tester sur un autre…
Apple a diligenté hier en urgence une enquête concernant la fuite de dizaines de photos de vedette dénudées, une affaire qui fait grand bruit depuis 48h (lire : Fuite de photos dénudées : Apple enquête).
La déclaration originale :
Update to Celebrity Photo Investigation
We wanted to provide an update to our investigation into the theft of photos of certain celebrities. When we learned of the theft, we were outraged and immediately mobilized Apple’s engineers to discover the source. Our customers’ privacy and security are of utmost importance to us. After more than 40 hours of investigation, we have discovered that certain celebrity accounts were compromised by a very targeted attack on user names, passwords and security questions, a practice that has become all too common on the Internet. None of the cases we have investigated has resulted from any breach in any of Apple’s systems including iCloud® or Find my iPhone. We are continuing to work with law enforcement to help identify the criminals involved.
To protect against this type of attack, we advise all users to always use a strong password and enable two-step verification.
Je le savais !
Plutôt rassurant, finalement... Mais attendons d'en savoir plus tout de même.
@Arthur1er :
Attendons d'en voir plus*
Bien ce que je me disais aussi. Ça collait pas les photos avec un piratage icloud.
Mais ça leurs a donné un bon coup de pub aux hackers.
Je retiens trois choses. La réactivité d'Apple dans la correction d'une faille dans son système, le communiqué rapide sur l'enquête en cours et aussi, le poids des relais médiatiques lorsqu'on parle de stars. Une dernière ? Allez, ok. Je retiens aussi l'émoi que suscite Apple des qu'il est visé par une "affaire"…
du temps de Steve Jobs Apple aurait pas fait ça ! Apple va coul.. heu attendez, ha non c'est un progrès ça. oubliez.
@oomu :
"du temps de Steve Jobs Apple aurait pas fait ça !"
Qu'est ce qui te fait dire cela ?
@Mickaël Bazoge : Aaaah ! Il m'a eu (sacré lui) ! Je me disais aussi...
@Manao :
Ils ont été rapide pour les fuites de lumières ipad... Le problème est tjrs la...
@daxr1der :
Tu es chiant avec tes fuites de lumières ... 35 ans que tu en parles. Je crois que le message est passé.
@damiendu83600 :
Faut pas lui en vouloir. Il a des fuites lui aussi… de mémoire.
S'il n'y a pas de faille. Il y avait tout de même une faiblesse d'une api qui permettait l'attaque en force brute, non ?
C'est ça, ya donc bien une faille quelque part et aucun SE dans l'histoire. :)
Bon, cette hypothèse rassurante faisait partie de celles évoquées par l'ensemble de la presse, ne leur jetons pas la pierre. Quand je vois les mots de passe de dingue que j'ai mis, je me dis qu'il faut en vouloir pour casser un compte réellement protégé par passage en force.
[supprimé]
@lmouillart :
Le two-step logon couvre quelques actions seulement comme expliqué sur la page ad-hoc. Trois en fait :
• gestion du compte Mon Identifiant Apple
• achats sur iTunes, App Store ou iNooks Store depuis un nouvel appareil
• obtention du support d'Apple concernant l'Apple ID
@Domsware
Donc il suffit de se retrouver dans le même cas que moi, tu itère comme tu veux sur ton compte pour trouver le mot de passe et une fois trouvé tu ne te connecte pas sur ces services :
"
• gestion du compte Mon Identifiant Apple
• achats sur iTunes, App Store ou iNooks Store depuis un nouvel appareil
• obtention du support d'Apple concernant l'Apple ID"
Et tu récupère donc, documents, mails, photos, calendrier ...
Si Apple ne voit rien, il leur faut soit des lunettes, soit changer peut être de métier :D.
@lmouillart :
D'un autre côté une validation en deux étapes pour la consultation des documents ce n'est absolument pas pratique.
Comment procéder alors ?
@Domsware
A minima faire comme Google et les autres, poser un cookie ou un jeton sur un appareil de confiance quand on ne veut pas passer par le login + pass + clé et se connecter directement, mais sur n'importe quel autre appareil demander systématiquement le 2step, sinon ce truc ne sert strictement à rien.
Et si c'était juste un coup monté par la concurrents à l'approche de la sortie de l'iPhone 6? "o_O
Les*
Un coup de Samsung
@karimappleS :
#Samsung #Oscars #Galaxy Note #Selfie #Stars #Nude :-)
je pensais plutôt aux illuminatis, mais maintenant que vous le dites, tout devient clair ! *élévation cosmique*
Un coup en barquette de poulet
rassurant et non
car l'ingénierie sociale, ou la création de vrai-faux sites, de vrai-faux courrier de banques/fai/assurance/ma grand mère, etc reste une constante aggression sur les utilisateurs qui contrairement à ma grand-mère, moi et les geeks n'ont pas que ça à faire que de TOUT savoir et penser à TOUT.
bref, que le front "Apple" tienne bon, ok c'est cool. Mais c'est PAS SUFFISANT !
et les geeks aigris au lieu d'accuser les victimes d'être des victimes feraient mieux d'aider par des blogs explicatifs, des conseils sur les forums, prévenir quand ils voient une arnaque dangereuse en ligne, parler à leurs voisins/amis/familles/schtroumpfs.
ha et lancez pas des scripts de déni de service sur Blizzard, ça me rend triste. (lancez les sur micr.. oups! j'ai eu une pensée méchante)
Les geeks doivent éduquer les utilisateurs… pourquoi pas… c’est sympa… (je suis pour, ne vous méprenez pas en lisant la suite) mais ça n’est pas la marche normale des choses.
On a l’outil informatique, et quiconque décide de l’utiliser doit CHERCHER à avoir la formation initiale à cet outil. C’est à l’utilisateur lambda d’être proactif quant à la recherche des bienfaits ET des dangers de l’outil qu’il va utiliser. On ne cherche pas à former « pour rendre service » et a posteriori quelqu’un qui utilise déjà un outil dangereux, il se forme, ou il perd son droit à tout chouinage. D’autant que c’est pas comme si il fallait apprendre le bottin : 1/ tout ce que tu mets sur le net, de quelque manière que ce soit, est susceptible d’être public un jour, (sécurité) 2/ tout ce que tu mets sur le net, de quelque manière que ce soit est susceptible de disparaître un jour (sauvegardes). Faut pas 170 de QI pour comprendre ça et agir en fonction.
Lol, bon en même temps c'est doit ils sortent ce blabla et paient aucun dommages... Soit ils avouent et paf des millions et plus de dommages... Donc le choix est vite fait...
Ensuite bon lol j'aime bien Apple mais que le propre incriminé puisse lui même chercher le coupable c'est comme laisser un condamné faire juge et accusé...
Bref, au final les petites starlettes arrêteront leur bêtises de se foutre à poils pour l'audience...
Dans les films ou clips ok, mais la alors non... Rooo calimero...
Ahahah !!! Alors là Apple a fait fort !!!
Ce n'est la faute d'Apple ce sont les stars qui ont donné leurs identifiants et mot de passe aux hackeurs !!!!
Pffff j'aurais jamais cru ça d'Apple ! kel lâche !
Et les fanboys qui soupirs en disant "ouf j'était sûre qu'Apple n'y était pour rien"
En même temps Samsung ne risque pas grand chose puisque vis
Bien des naïfs ici donc Apple "dit" donc parole d'évangile ?
Sans déconner évidemment qu'ils ne vont pas dire : Bon ok on avoue c'est bien nous les coupables
Et en plus à 6 jours d'un grand événement pour eux
@tyga tiger
En l'occurence non, Apple n'est pas coupable. Le seul coupable dans l'affaire c'est le gros enculé qui a hacké les comptes. Et y en a pas d'autres. Comme on accuse pas la minijupe quand une nana se fait violer. Le coupable c'est toujours le violeur.
Maintenant le piratage par ingénierie sociale reste de loin le plus facile à mettre en place, parce qu'avec le bon dosage de séduction on peut arriver à tout.
Donc il est pas question de dire "bouh Apple pas bien t'as pas bien protégé nos données" vu qu'au jeu de l'ingénierie sociale tout le monde est logé à la même enseigne.
Enfin, Apple n'a pas dit que c'était pas de sa faute. Elle a juste dit qu'aucune faille logicielle dans ses services n'avait été exploitée. Ça n'exclut donc en rien la faille humaine.
Et ce qui est vrai pour Apple est aussi vrai pour Dropbox. Donc arrête 2 minutes avec les naïfs fanboys, ça commence à tourner à l'obsession.
@joneskind :
Visiblement le serveur est vulnérable au bruteforce. Le compte devrait se bloquer après quelques requêtes incorrectes. Donc iCloud a bien une faille de sécurité majeure et basique, contrairement à ce que dit Apple. Elle est facilement utilisable pour tous les utilisateurs ayant des mots de passe faibles, notamment constituée de mots ordinaires (attaque au dictionnaire, très facile à mettre en place et beaucoup d'utilisateurs vulnérables). Ça exploite certes l'ingénierie sociale, contre laquelle on ne peut pas faire grand chose, si ce n'est éduquer les utilisateurs, mais aussi une faille de sécurité d'iCloud.
C'est bien connu, la plus grosse faille informatique ça reste l'utilisateur :)
@oomu
Je signale régulièrement certains phising que je juge de qualités, reproduction précise du graphisme adresse et lien masqués dans les mails (rien de plus facile). Les trois quarts des boîtes n'en on rien à foutre. Quand je les contacte pour savoir ou précisément réexpédier les mails je n'ai jamais de réponse. Par ailleurs je soupçonne certaines boîtes d'être très légères avec les questions de sécurité. Récemment j'ai pris un abonnement SFR, une semaine après je recevais un phising au nom de SFR, reprenant avec exactitude mes noms et coordonnées. Cette situation s'est reproduit à plusieurs reprises et m'amène à me poser des questions ?
@Pan666 : En cas de fishing, je prévenais également l’hébergeur et envoyais un mail au propriétaire du site. Comme tu le dis, très peu de retour. Mon vrai seul 'fait d'arme' à été de vider une base de données sur un tel site. Jouissance (et gros coup de bol). Ce qui est drôle aussi c'est de temps en temps remplir les formulaires de toutes sortes d'insultes.
Ce que voulait dire oomu, et je le rejoins là dessus, c'est que c'est aux geek de faire l'éducation des _utilisateurs_ pour que la population ultra-majoritaire de non geeks soit au courant des divers arnaques possibles, et apprenne à les repérer et à s'en protéger.
Parce que les entreprises le font mal et n'aiment pas communiquer sur le sujet des limites sécuritaires de leurs systèmes, qu'elles en soient responsables ou pas. Ca fait peur aux utilisateurs et ce n'est donc pas bon pour le business.
C'est donc à VOUS les geeks d'informer et éduquer les utilisateurs de votre entourage.
@Philactere :
Je suis d'accord avec @oomu et toi.
Je rajouterai que l'utilisateur Lambda ne lit pas les documentations, tutoriaux et autres explications concernant l'environnement technologique qu'il utilise.
Là il s'agit de piratage de données. Dans d'autres cas de sauvegardes de ses données. Bien souvent il faut attendre une situations sérieuse pour s'en préoccuper.
@Philactere : Encore faut il avoir une audience et ne pas se faire étriper dès lors que l'on a le moindre doute sur le choix de certaines sociétés (Apple par exemple).
Je me souvient d'une discution sur ce site (Macg) où le seul fait d'avoir émis un doute sur l'idée 'généralissime' qu'aurait eu Apple sur la possibilité de proposer aux devs de personnaliser les boites de dialogues de sécurité du système... Résultat : pas joyeux.
Alors c'est bien gentil tout ça, mais qu'ils se démerdent un peu les utilisateurs. Après chacun fait ce qu'il veut, évidement.
@bugman :
C'est à la pause café avec tes collègues non geeks ou entre amis/famille lors d'un repas si le sujet vient sur la table d'en parler. C'est à eux qu'il faut expliquer les choses.
Sur MacG c'est geek contre geek et querelles de clochers bien souvent. Et même les non geeks qui fréquentent MacG sont déjà beaucoup plus informés que l'immense majorité des utilisateurs lambda qui ne va JAMAIS aller s'informer sur un site spécialisé informatique. Simplement parce que ce n'est pas leur truc et qu'ils ont d'autres centres d'intérêts dans la vie. Et ils ont bien raison.
Donc parle en lors des pauses café ou dîners si l'occasion se présente, c'est tout.
@Philactere : Ah mais je partage à 100%. Le problème est là : "utilisateurs lambda qui ne va JAMAIS aller s'informer sur un site spécialisé informatique. Simplement parce que ce n'est pas leur truc et qu'ils ont d'autres centres d'intérêts dans la vie. Et ils ont bien raison."
Et dans un cercle privé c'est idem, souvent on te sollicite pour un "j'ai un probleme sur mon PC", tu dépatouille, explique, sirote une bière et repart... n’empêche, il est plus simple de te re-solliciter pour la même chose un peu plus tard. Geek ça doit être en soi je pense.
Bien évidemment !!
Apple aime bien jouer sur les mots en effet y a pas de faille sur cette fonctionnalité d'iCloud
Cela dit la sécurité a bel et bien volé en éclat si un hacker a pu entrer dans le nuage
Tout ce que les entreprises savent dire sur je sujet de la sécurité c'est "dormez tranquille nos systèmes sont blindés et meilleurs que ceux des concurrents".
Et quant une affaire fait trop de bruit c'est le communiqué numéro 2 qui est publié "la faille ne vient pas de chez nous".
Les éditeurs, Apple et les autres, vont travailler sur les aspects _techniques_ de sécurisation. Pour avoir des systèmes toujours plus robustes et simples pour l'utilisateur.
Mais expliquer les dangers et les limites, ça elles ne font pas, cet aspect est négatif donc prohibé, interdiction d'en parler pour raisons marketing.
Cette partie du Job est donc dévolue à vous les geeks.
@joneskind
Tu as vu quelque part le terme fanboys dans mon post ?
J'ai pas tout saisis, y a strictement aucun soucis du coté d'Apple mais il corrige un le fait de pouvoir brute forcer ?
@elamapi :
ils (Apple) nient en bloc. ils (fanboys) gobent en bloc...
"légèreté de certains mots de passe choisis "
La ligne de défense d'Apple est un peu bizarre. Si on arrive à entrer dans le système car le mot de passe est trop simple, c'est une faille ou du moins un gros problème per se.
Non, je pense que ça se tient... la plupart des sites refusent depuis longtemps les mots de passe du type password, azerty ou 1234567890 et c'est logique. Si tu veux découvrir le mot de passe d'une personnalité, non seulement tu peux chercher une faille mais tu as aussi pas mal d'indices concernant un mot de passe qui reprendrait un élément de vécu par exemple vu que la vie privée des people est joyeusement violée au quotidien. Selon moi ça peut arriver avec n'importe quel site (Facebook pour ne pas le citer, ou encore dropbox comme mentionné dans l'article!).
Pages