Fuites de photos : Apple réfute toute faille de sécurité
Apple fait ce soir un point sur son enquête autour d'un supposé hack d'iCloud et du service Find my iPhone. Il en résulte, dans sa déclaration, qu'il n'y a pas de faille de sécurité sur ses serveurs à l'origine de cette affaire.
Après 40 heures d'enquête, nous avons découvert que les données de certains comptes de célébrités ont été compromises par une attaque très ciblée sur les identifiants, mots de passe et questions de sécurité, une pratique devenue beaucoup trop commune sur internet
Plus important encore, le constructeur précise qu'il n'y a pas eu d'exploitation d'une faille technique.
Aucun des cas que nous avons étudiés n'a résulté d'une violation d'un système d'Apple, y compris iCloud ou Localiser mon iPhone. Nous continuons de travailler avec la police pour aider à identifier les criminels impliqués.
En somme, on se dirigerait plutôt vers une affaire d'ingénierie sociale. Apple, ne fait aucune mention d'une faiblesse de son service Localiser mon iPhone face à une attaque par force brute pour tester des mots de passe à la chaîne sur des comptes dont aurait déjà deviné ou obtenu l'identifiant. Un défaut qui avait été discrètement corrigé hier d'après celui qui en avait fait la découverte.
Dans l'explication fournie, la faute de cette subtilisation de photos en revient plutôt à la légèreté de certains mots de passe choisis par leurs utilisateurs et à l'absence d'activation de la fonction de double identification sur les comptes en question. C'est justement dans ce sens qu'Apple enjoint les utilisateurs de se tourner pour renforcer la sécurité entourant leur compte iCloud (fiche technique). Un dispositif qui mériterait d'être mieux mis en avant plutôt que confiné dans une fiche technique hors de portée de la majorité des utilisateurs.
Il avait été aussi dit que des photos avaient été récupérées de comptes Dropbox. Apple n'aborde pas ce volet de l'affaire mais on peut aisément supposer que certaines victimes utilisaient des identifiants et mots de passe communs entre les services. Une pratique pour le coup aussi très courante. Armé d'une bonne information d'identification liée à un service, rien de plus facile pour le malandrin d'aller la tester sur un autre…
Apple a diligenté hier en urgence une enquête concernant la fuite de dizaines de photos de vedette dénudées, une affaire qui fait grand bruit depuis 48h (lire : Fuite de photos dénudées : Apple enquête).
La déclaration originale :
Update to Celebrity Photo Investigation
We wanted to provide an update to our investigation into the theft of photos of certain celebrities. When we learned of the theft, we were outraged and immediately mobilized Apple’s engineers to discover the source. Our customers’ privacy and security are of utmost importance to us. After more than 40 hours of investigation, we have discovered that certain celebrity accounts were compromised by a very targeted attack on user names, passwords and security questions, a practice that has become all too common on the Internet. None of the cases we have investigated has resulted from any breach in any of Apple’s systems including iCloud® or Find my iPhone. We are continuing to work with law enforcement to help identify the criminals involved.
To protect against this type of attack, we advise all users to always use a strong password and enable two-step verification.
en tout cas si le hacker avait choper des photos de ma copine je lui aurait défoncer son PC. parce suave un Mac on peut pas faire de hacking, pas de brute force, pas de ddos attack. bref pas fun à manipuler.
Bon , tout est bien qui fini bien alors On attend tous avec impatience les photos de l'équipe MacGe à poil dans le bureau
Apple s'en remettra t'elle ?
Une faille ( que pour une fois Apple a combler à la vitesse de la lumière ) qui rend possible le brute force .
Réponse d'Apple il y a pas de faille chez nous les stars aurai du mettre des meilleurs mots de passes .
Réaction ici : amen c'est pas la faute de Apple ( après tout si ils le disent ) on le savait .
Ils y en a vraiment qui on cru ce communiqué ...
Sont fort sur avec les mots chez Apple , vraiment très fort .
C'est pour ça qu'il faut mettre en place une vraie validation en 2 étapes.
C'est pas moi
jamais nous n'avons collaboré avec le FBI ou la NSA
Un mac est sur et fiable et ne tombe jamais en panne
l'iphone ou l'ipad sont inviolables
Y a que chez les autres qu'il y a des failles et des virus
Nous vous assurons qu'apple n'enregistre aucune donnée personnelle
etc etc....
Petit liste non exhaustive de ce que apple et ses fanboys délivrent comme message depuis 10 ans....
Franchement vous n'avez pas honte de trompez à ce point les gens ?
Faut pas s'étonner ensuite si les fanboys sont vus partout comme des décérébrés sans capacité de reflexion personnelle
L'identification en 2 étapes c'est pour éviter de se faire voler son compte si j'ai bien compris. Par contre pour l'activer il faut avant configurer les questions de sécurité ce que je n'ai pas envie de faire car je considère ces questions comme une menace pour la sécurité de mon compte.
Avez vous un soupçon de connaissance technique. J en doute à la lecture. Pour entrer dans un système, il faut soit un backdoor soit une mauvaise installation.
Ou un implantation de service. apple n est pas parfait mais dans le cas présent il s agit de personnes proches ou gérant les fonctions des dites personnes. Quant savoir des geeks permettez moi d en douter. J ai lu tellement des implémentations de serveur web avec des implémentations qui ne respectent pas les règles du fournisseur ( oracle, Apache. UNIX)
Je pense que twitter , Facebook. Et autres services qui vous facilitent la gestion des logins ! La faille est l être humain. La seule règle est une grande prudence avec les services en ligne. Il faut être prêt à assumer les risques. Quant on attaque en force, elle sont souvent très longues a mettre en œuvre pour être efficiente. Pour obtenir un identifiant, il faut avoir une information. Fait une analyse pour obtenir un email ? Il faut séparer votre identification personnelle et professionnelle de tous ces applications inutiles ou non indispensable. Malgré cela vous ne serez jamais a l abri de la cyber criminalité car internet et les états ne font pas leurs boulots.
J'ai beau chercher sur le net mais aucune trace de ses photos.
Avez vous un lien pour me rendre compte de l'ampleur de ce que ses vilains pirates ont commis?
impossible , Apple est en guerre contre la nudité fusse t'elle artistique .......
Ya un certain kickass qui les distribuent le long d'un torrent.
J'ai jamais vu autant d'un article sur un même sujet O_o
J'ose espérer qu'il y'en aura au moins plus pour l'iphone 6 hein !
t'inquiètes pas , des " Wouah " et des "j'achête direct " tu vas en avoir 100 pages...
@hercules :
'Et les fanboys qui soupirs en disant "ouf j'était sûre qu'Apple n'y était pour rien"'
.... la mer ! qu'elle mer ? Ah ! la mère !
Avec la quantité d'information disponible sur Internet, je suis certain que les réponses aux questions de sécurité des stars sont aisément trouvable.
Néanmoins ce qui m'étonne le plus c'est que pour mener cette attaque il fallait bien l'identifiant Apple des cibles. J'ai du mal à imaginer comment un simple pirate ait pu obtenir l'identifiant d'autant de célébrités.
Il n'y a aucun système de sécurité qui bloque le compte & averti l'utilisateur par téléphone ou mail quand une personne ou un bot essaie 400 milliards de mots de passe? :|
Ah putain lol. Juste lol.
D'autres sources parlent plutôt d'un hack de Dropbox, les PDF explicatifs de Dropbox se trouvant dans les fichiers piratés... On saura la vérité un jour ?
Quand aux clouds, après Sony, après le FBI, après tant d'autres attaques / fuites / ... c'est IDIOT de mettre des contenus délicats sur un cloud.
On SAIT (les gens autour de moi savent, je leur en ai parlé) que partager une liste de lecture, les bouquins qu'on a lu etc est anodin. Mais PAS les photos, PAS les créations personnelles, PAS la tenue de ses comptes ...
Je ne dis pas que les victimes ne sont pas victimes, attention... Je dis que lorsqu'on veut protéger des gens, on ne les envoient pas sur un terrain miné parce que le pays nous a vanté sa vision infaillible de la sécurité...
Bref, on finira par comprendre comment cet événement s'est produit, mais pour que VOUS soyez protégé, c'est évidement la leçon du jour : Owncloud déconnecté d'internet...
"Envoyer-moi l'adresse mail si vous voulez que je pirate le compte pour vous", annonce Perfect Riper.
A l'intérieur du business de craquage des comptes ICloud :
http://www.businessinsider.com/the-underground-icloud-hacking-ring-that-leaked-naked-celebrity-photos-2014-9
A partir du moment où on a le mail qui sert d'identifiant le piratage devient possible, pas facile, mais possible.
Moralité le système des comptes à partir du mail utilisateur est à revoir. Ce n'est pas une faille informatique au sens strict, mais c'est bien une faille du système.
On ne peut pas demander à tout un chacun d'être expert pour se protéger, qu'on soit une jolie starlette ou pas on a droit au respect et à la protection de sa vie privée (et des ses jolies fesses qu'on bien le droit de photographier sous tous les angles, sans vouloir pour autant les partager avec le monde entier)
La vraie question qu'il faut absolument se poser à l'heure actuelle c'est : où est-ce que l'on peut voir toutes les photos des ces nénettes à poil ?!
Des histoires comme celle-ci il y'en aura d'autres... Les maisons connectées, les voitures... On va bien se marrer dans les 10 prochaines années.
Peut être une conséquence directe de Heart Bleed finalement...
Identifiants et mots de passe à l'air libre sur des millions des sites. Ensuite il n'y a plus qu'à...
@Vouzemoi :
D'un autre côté il y a des inconnus qui affirment haut et fort des choses invérifiables : pourquoi les croire eux plutôt qu'Apple ?
Avant de réagir aussi vertement pourquoi ne pas patienter pour avoir un peu de recul ?
@Florian Innocente
J'ai du mal comprendre car j'ai l'impression que vos deux articles sur le sujet se contredisent.
Il était question dans l'autre article d'une faille de Find My iPhone corrigée par Apple et aujourd'hui vous écrivez qu'il n'en est rien, aucune faille de sécurité si ce n'est de la bruteforce c'est des mots de passes faibles. Alors faille corrigée ou pas ? Merci de m'éclairer.
Ca marchait aussi avec des mdp fort, juste que ça prend plus de temps. find my iphone permettait de tenter autant de mdp que l'on voulait sur l'ID du compte visé, au lieu de le voir bloquer au bout de quelques tentatives.
Le trou dans find my iphone a été corriger lundi, maintenant apple nous sort qu'il n'y a jamais eu de problème chez eux et que c'est uniquement de la faute des utilisateurs...
Pages