Fuites de photos : Apple réfute toute faille de sécurité

Florian Innocente |

Apple fait ce soir un point sur son enquête autour d'un supposé hack d'iCloud et du service Find my iPhone. Il en résulte, dans sa déclaration, qu'il n'y a pas de faille de sécurité sur ses serveurs à l'origine de cette affaire.

Après 40 heures d'enquête, nous avons découvert que les données de certains comptes de célébrités ont été compromises par une attaque très ciblée sur les identifiants, mots de passe et questions de sécurité, une pratique devenue beaucoup trop commune sur internet

Plus important encore, le constructeur précise qu'il n'y a pas eu d'exploitation d'une faille technique.

Aucun des cas que nous avons étudiés n'a résulté d'une violation d'un système d'Apple, y compris iCloud ou Localiser mon iPhone. Nous continuons de travailler avec la police pour aider à identifier les criminels impliqués.
Jennifer Lawrence — ici dans Hunger Games — l'une des victimes de cette subtilisation et publication de photos personnelles

En somme, on se dirigerait plutôt vers une affaire d'ingénierie sociale. Apple, ne fait aucune mention d'une faiblesse de son service Localiser mon iPhone face à une attaque par force brute pour tester des mots de passe à la chaîne sur des comptes dont aurait déjà deviné ou obtenu l'identifiant. Un défaut qui avait été discrètement corrigé hier d'après celui qui en avait fait la découverte.

Dans l'explication fournie, la faute de cette subtilisation de photos en revient plutôt à la légèreté de certains mots de passe choisis par leurs utilisateurs et à l'absence d'activation de la fonction de double identification sur les comptes en question. C'est justement dans ce sens qu'Apple enjoint les utilisateurs de se tourner pour renforcer la sécurité entourant leur compte iCloud (fiche technique). Un dispositif qui mériterait d'être mieux mis en avant plutôt que confiné dans une fiche technique hors de portée de la majorité des utilisateurs.

Il avait été aussi dit que des photos avaient été récupérées de comptes Dropbox. Apple n'aborde pas ce volet de l'affaire mais on peut aisément supposer que certaines victimes utilisaient des identifiants et mots de passe communs entre les services. Une pratique pour le coup aussi très courante. Armé d'une bonne information d'identification liée à un service, rien de plus facile pour le malandrin d'aller la tester sur un autre…

Apple a diligenté hier en urgence une enquête concernant la fuite de dizaines de photos de vedette dénudées, une affaire qui fait grand bruit depuis 48h (lire : Fuite de photos dénudées : Apple enquête).

La déclaration originale :

Update to Celebrity Photo Investigation

We wanted to provide an update to our investigation into the theft of photos of certain celebrities. When we learned of the theft, we were outraged and immediately mobilized Apple’s engineers to discover the source. Our customers’ privacy and security are of utmost importance to us. After more than 40 hours of investigation, we have discovered that certain celebrity accounts were compromised by a very targeted attack on user names, passwords and security questions, a practice that has become all too common on the Internet. None of the cases we have investigated has resulted from any breach in any of Apple’s systems including iCloud® or Find my iPhone. We are continuing to work with law enforcement to help identify the criminals involved.

To protect against this type of attack, we advise all users to always use a strong password and enable two-step verification.

avatar Dylan | 

Je le savais !

avatar Arthur1er | 

Plutôt rassurant, finalement... Mais attendons d'en savoir plus tout de même.

avatar jojostyle94 | 

@Arthur1er :
Attendons d'en voir plus*

avatar fousfous | 

Bien ce que je me disais aussi. Ça collait pas les photos avec un piratage icloud.
Mais ça leurs a donné un bon coup de pub aux hackers.

avatar Pablo | 

Je retiens trois choses. La réactivité d'Apple dans la correction d'une faille dans son système, le communiqué rapide sur l'enquête en cours et aussi, le poids des relais médiatiques lorsqu'on parle de stars. Une dernière ? Allez, ok. Je retiens aussi l'émoi que suscite Apple des qu'il est visé par une "affaire"…

avatar oomu | 

du temps de Steve Jobs Apple aurait pas fait ça ! Apple va coul.. heu attendez, ha non c'est un progrès ça. oubliez.

avatar bugman | 

@oomu :
"du temps de Steve Jobs Apple aurait pas fait ça !"
Qu'est ce qui te fait dire cela ?

avatar Mickaël Bazoge | 
C'est une blague je crois.
avatar bugman | 

@Mickaël Bazoge : Aaaah ! Il m'a eu (sacré lui) ! Je me disais aussi...

avatar daxr1der | 

@Manao :
Ils ont été rapide pour les fuites de lumières ipad... Le problème est tjrs la...

avatar damiendu83600 | 

@daxr1der :
Tu es chiant avec tes fuites de lumières ... 35 ans que tu en parles. Je crois que le message est passé.

avatar patrick86 | 

@damiendu83600 :

Faut pas lui en vouloir. Il a des fuites lui aussi… de mémoire.

avatar DrArchy | 

S'il n'y a pas de faille. Il y avait tout de même une faiblesse d'une api qui permettait l'attaque en force brute, non ?

avatar trolloloI | 

C'est ça, ya donc bien une faille quelque part et aucun SE dans l'histoire. :)

avatar Madalvée | 

Bon, cette hypothèse rassurante faisait partie de celles évoquées par l'ensemble de la presse, ne leur jetons pas la pierre. Quand je vois les mots de passe de dingue que j'ai mis, je me dis qu'il faut en vouloir pour casser un compte réellement protégé par passage en force.

avatar lmouillart | 

[supprimé]

avatar Domsware | 

@lmouillart :
Le two-step logon couvre quelques actions seulement comme expliqué sur la page ad-hoc. Trois en fait :
• gestion du compte Mon Identifiant Apple
• achats sur iTunes, App Store ou iNooks Store depuis un nouvel appareil
• obtention du support d'Apple concernant l'Apple ID

avatar lmouillart | 

@Domsware
Donc il suffit de se retrouver dans le même cas que moi, tu itère comme tu veux sur ton compte pour trouver le mot de passe et une fois trouvé tu ne te connecte pas sur ces services :
"
• gestion du compte Mon Identifiant Apple
• achats sur iTunes, App Store ou iNooks Store depuis un nouvel appareil
• obtention du support d'Apple concernant l'Apple ID"
Et tu récupère donc, documents, mails, photos, calendrier ...

Si Apple ne voit rien, il leur faut soit des lunettes, soit changer peut être de métier :D.

avatar Domsware | 

@lmouillart :
D'un autre côté une validation en deux étapes pour la consultation des documents ce n'est absolument pas pratique.

Comment procéder alors ?

avatar lmouillart | 

@Domsware
A minima faire comme Google et les autres, poser un cookie ou un jeton sur un appareil de confiance quand on ne veut pas passer par le login + pass + clé et se connecter directement, mais sur n'importe quel autre appareil demander systématiquement le 2step, sinon ce truc ne sert strictement à rien.

avatar The Joker WSS | 

Et si c'était juste un coup monté par la concurrents à l'approche de la sortie de l'iPhone 6? "o_O

avatar The Joker WSS | 

Les*

avatar karimappleS | 

Un coup de Samsung

avatar The Joker WSS | 

@karimappleS :
#Samsung #Oscars #Galaxy Note #Selfie #Stars #Nude :-)

avatar oomu | 

je pensais plutôt aux illuminatis, mais maintenant que vous le dites, tout devient clair ! *élévation cosmique*

Pages

CONNEXION UTILISATEUR