Tim Cook promet une amélioration de la sécurité d’iCloud
Steve Jobs avait refusé de communiquer de manière franche sur les problèmes de réception de l’iPhone 4 pendant plus d’un mois, laissant enfler la polémique aujourd’hui connue sous le nom d’antennagate. Tim Cook ne compte pas reproduire la même erreur avec le celebgate, cette affaire sordide de fuite de photos très personnelles stockées sur iCloud. Quelques jours après que ses porte-parole ont réagi par voie de communiqué, le CEO d’Apple annonce un renforcement de la sécurité d’iCloud à l’occasion d’une interview au Wall Street Journal.
Tim Cook persiste et signe, iCloud lui-même n’a pas été piraté. Les voleurs ont toutefois réussi à se procurer dans certains cas les mots de passe de leurs victimes, dans d’autres cas la réponse aux questions de sécurité permettant de récupérer ce mot de passe. Le problème n’a jamais été la sécurité des serveurs d’Apple, bien qu'elle soit évidemment importante ; il réside d'abord et avant tout dans l’absence de garde-fous contre l’ingénierie sociale et de mécanismes permettant de détecter une connexion malveillante.
C’est précisément sur ces points que la firme de Cupertino compte agir : à partir de la mi-septembre, elle alertera les utilisateurs par courrier électronique et notification push en cas de connexion depuis une adresse IP inconnue, de modification du mot de passe iCloud, ou de tentative de restauration des données sur un nouvel appareil. Ce dernier cas est particulièrement important, puisqu’il semble que des outils de restauration en masse des données iCloud aient été utilisés pour récupérer rapidement et discrètement les photos qui circulent depuis quelques jours.
Mais Apple envoyait déjà des courriers électroniques en cas de changement de mot de passe, et ils ne disaient rien d’autre que « le mal est fait ». « Lorsque je prends du recul sur ce qui vient de passer et me demande ce que nous aurions pu faire de plus », admet Tim Cook, « je pense que nous devons être responsables d’une prise de conscience des utilisateurs en matière de sécurité. Ce n’est pas qu’un problème technique. » Cela commencera, assurément, par une promotion de l’authentification en deux facteurs ailleurs que dans une obscure fiche technique — avec iOS 8, elle protégera enfin la connexion à un compte iCloud depuis un appareil iOS.
Apple doit aussi être plus résistante aux mécanismes d’ingénierie sociale, et peut-être abandonner le système antédiluvien et largement inutile des questions « de sécurité ». Avec Touch ID, la firme de Cupertino a montré qu’elle pouvait être crédible sur ces questions. Tim Cook veut maintenant prouver qu’iCloud peut être le coffre-fort dans le nuage que ses utilisateurs attendent.
C'est marrant qu'il fasse que des stars se fassent hacker alors que des utilisateurs banaux se prenaient ces foudres avant ... --'
@Mr. THZ :
Banaux ???
Ca fait bizarre mais c'est français, on peut dire banals aussi
@Lecompas :
Ça ne signifie pas la même chose!^^
http://leblognotesdunpointctout.blogspot.fr/2010/12/banals-ou-banaux.html?m=1
En l’occurrence, ici, banaux n'est pas approprié.
L'adjectif banal admet deux pluriels, banals et banaux, mais pour deux sens bien distincts : banals est le pluriel de l'adjectif banal (ordinaire, habituel), tandis que banaux est le pluriel de l'adjectif banal se rapportant au ban (dans le droit féodal : dont l'usage était imposé aux vassaux d'un seigneur moyennant une redevance).
voir : http://www.cnrtl.fr/definition/banaux
@Mr. THZ :
Pour que les vols soient possibles il a fallut mettre beaucoup d'énergie en action. Ça ne se fait pas pour un utilisateur lambda. Il n'y a rien a gagner.
Le nuage, c'est l'hébergement de ses données sur des serveurs distants.
Quand j'ai des données sensibles/personnelles, je préfère un bon vieux disque sur local chiffré.
Je n'arrive toujours pas a comprendre cet engouement pour le cloud, en particulier pour les entreprises.
@deltiox :
Sauf à devoir faire tout soit même les avantages de déporter les infos dans le nuages sont immenses :
- Pas de coût d'investissement
- Pas de maintenance à gérer (énergie, upgrade…)
- Accompagne la croissance ou la décroissance de l'entreprise
- dispo partout, augmente la productivité
- le tout au final bien moins cher que du local
Alors oui c'est au sacrifice de l'emploi mais c'est aussi une façon de déplacer les savoir faire IT vers d'autres activité telle que la sécurité (trop souvent légère faute de temps), au final c'est une évolution importante qui aide des millions d'utilisateurs pro au quotidien.
@deltiox :
Tous les datacenters sont connectés à Internet. Donc, pour une entreprise, que ses données soient dans son datacenter ou celui d'un hébergeur ne changent rien à l'affaire.
C'est juste un renversement de responsabilité.
Lorsque les données sont dans le Data center de l'entreprise, c'est à l'entreprise d'investir dans les dispositifs de sécurité. Lorsqu'ils sont chez un hébergeur, c'est à lui de faire ses investissements, l'entreprise payant pour un service.
Et la plupart des boîtes que je rencontre sont encore à un stade très faible de maturité en terme de sécurité. Je suis même étonnée qu'il n'y ait pas plus de vol - maintenant je sais que beaucoup d'incidents de sécurité sont passés sous silence.
Pour rappel et pour relativiser le sujet qui nous occupe, le CEO de Target (une boîte de services financiers) a été remercié suite à un vol massif de données de ses clients - et la ce n'est pas du cloud !
@deltiox :
J'ai un ami qui s'est fait voler tous les Mac dans sa boîte... Heureusement, les petits trouducs se sont fait attraper par les flics...
Petits détail: tous les Mac ont été jetés en vrac dans le coffre... Donc, tous cassés... Heureusement, sauvegarde sur un cloud perso... Sinon...
Excellent Tim cook comme d'habitude. On ne pourra pas échapper au cloud malheureusement. Arrêtez de dire que le cloud est dangereux etc.... Ok il y a un risque pour certaines données personnelles mais je pense que vous, forumers macg, êtes assez intelligents pour en comprendre les enjeux et savoir l'utiliser correctement.
Nous oui, et encore pas sûr pour tous, mais on ne représente pas la totalité des utilisateurs du cloud
Tim, la solution contre la devinette des mots de passe et contre le piratage est simple généralisation de Touch ID...
@RDBILL : heu, ouai … blague à part, quand tu dors avec tes moufles cryptées … t'as pas chaud ???
@deltiox
Pareil !
Des photos perso dévoilées sur le net il y en a eu pas mal chez Facebook et ça ne fait pas autant de bruit... Et le pire c'est que c'était souvent un dysfonctionnement de Facebook lui même : modification unilatérale et sans préavis des conditions de sécurité.
Sauf que quand c'est Apple, c'est le mal incarné, et toujours de sa faute, c'est à eux de tout corriger. Quand c'est Facebook, c'est normal, vous n'aviez qu'a pas les mettre, ils ne changeront rien.
Si j'ai bien tout compris seul ceux en possession d'un iphone 5S ou plus auront droit à une sécurisation maximale.
Pour les autres ben faudra passer en caisse .
L'ironie c'est que les questions secrètes ont été utilisées pour s'introduire sur les comptes iCloud des victimes mais on ne peut pas activer la double authentification sans paramétrer ces fameuses questions...
@Jitech :
Faux, ça les désactives justement.
@Nesus :
Faux, choisir les questions secrètes est la première étape lors configuration de la double authentification. Bouton suivant grisé tant que les informations demandées ne sont pas entrées.
@ Vouzemoi
Dans ce cas, non tu n'as rien compris... Relis l'article...
@ Mr THZ
BANALS suffira.
C'est curieux ça, iCloud au-dessus de tous soupçons, mais on va quand même faire le nécessaire ! J'espère qu'Apple se rend compte des risques qu'elle prend envers et contre tout.
Je pense qu'ils font ça pour rassurer ceux qui justement, croient en une faille d'iCloud.
On ne saura probablement jamais si c'était un problème de sécurité de mot de passe (trop facile), ou si c'est un "bogue" iCloud. Donc le mieux est de dire que ce n'est pas de leur faute, et d'améliorer la sécurité, comme ça tout le monde est content, non ?...
Apple peut aussi forcer l'utilisation de mot de passe compliques.
Sur
Certains sites, taper 123456789 en mot de passe est verboten. On est obligé d'avoir au minimum une majuscule et une minuscule des chiffres.
J'ai essayé avec Hollande2017 et on m'a dit que n'était trop risqué ;)
Bof, sur un mot de passe de 8 chiffres ou lettres et en l'état actuelle de l'implémentation d'Apple, sur certain compte il faut juste quelques jours pour craquer un mot de passe.
@Wolf :
Pour les appleID c'est déjà pas mal : une majuscule une minuscule et un chiffe obligatoire plus d'autres conditions.
Non, le problème ce n'est pas les mots de passe compliqués parce que si on oblige les utilisateurs à mettre des mots de passe tarabiscotés et bien, ils vont les noter et il sera encore plus facile de le voler. Et un mot de passe de 8 lettres reste facile à trouver même avec des caractères spéciaux.
Un meilleur moyen d'authentifier c'est la biométrie, mais sans aller jusque-là, on pourrait aussi imposer des "passphrase" c'est à dire par exemple une suite de caractères supérieure à 16 caractères et la ce sera déjà bien complexe à craquer.
Enfin, pour activer le contrôle en 2 phases, il faut effectivement répondre aux questions de sécurité et attendre trois jours. Ensuite, une fois activé, les questions sont désactivées.
@Wolf : "J'ai essayé avec Hollande2017 et on m'a dit que n'était trop risqué ;)"
J'ai ri. Merci. :)
@nooty @autres qui m'ont répondu
Cloud perso = serveurs persos, rien de neuf la dedans, le nom cloud, c'est du marketing. Big Data = gros disques dur, voire san etc.
Un vol/ une effraction/ un incendie, cela se gère en amont... Ou pas ... en fonction de l'importance des données.
On peut avoir un disque dur dans un coffre déporté.
Comment faites vous le jour ou l'opérateur de votre "cloud" décide de changer les règles d'utilisation ou fait faillite ou augmente énormément ses frais ? Êtes vous vraiment sûrs de ce qu'il vous affirme sur les précautions mises en place ?
Comment rapatriez vous des téra de données depuis votre "cloud" ?
Je ne nie pas le besoin de serveurs connectés, je parle de données "sensibles" ou importantes pour l'entreprise. Bref des données pour lesquelles deux sauvegardes chiffrées à deux endroits sécurisés différents (oui une tape LTO dans un coffre dans un lieu déporté ça se fait et ce n'est pas si cher) ne sont pas du luxe.
Enfin, qq'un l'a évoqué, je suis contre l'externalisation des services IT pour du cloud... Ou alors il ne faut pas venir se plaindre après en termes d'emplois, de sécurité réelle des données, de leur confidentialité réelle etc. Enfin, les grands sites de cloud seront toujours une cible privilégiée pour les attaques alors qu'une société "lambda" sera sûrement moins visée.
Cela fait a mes yeux "cher" la facilité de gestion (car les entreprises sont de plus en plus gérées par des financiers et pas des opérationnels) Vs les risques pour des données jugées sensibles (encore une fois, pour les autres données et bien Osef)
Une affaire sordide ?? Faut peut-être pas abuser non plus ^^
C'et une très bonne chose qu'Apple réagisse et fasse le nécessaire pour sécuriser encore plus ses comptes. Ce qui m'étonne dans cette affaire c'est que l'on entende pas "les autres" : Dropbox, Google, Microsoft, Snapshat, Facebook, et j'en passe... Car on sait que ces photos ne sont pas issues seulement de comptes iCloud, mais ont été cumulées pendant plusieurs années et proviennent de diverses sources. Le traitement fait par la presse est très concentré sur Apple (comme d'habitude), mais il serait bien que tous les fournisseurs de ce genre de service réagissent et fassent en sorte eux aussi d'améliorer leur sécurité et d'être plus pédagogiques envers leurs utilisateurs sur les précautions à prendre.
La presse se concentre sur Apple, car les star ont toutes des iPhone, et parce qu'elle se sont toutes prisent en photo avec un iPhone.
Elle se seraient toutes prisent en photo avec un Galaxy S5, la presse se serait fait une joie de plomber samsung et google.
C'est la rançon de la gloire, c'est aussi la raison pour laquelle Apple, avec ces milliards auraient put dépenser quelques miettes dans une équipes sécurité pour prévenir ce genre d'incident, et quelques autres miettes pour se payer une équipe de com qui ne commence pas par insulter les victimes, avant de s'excuser.
Le soucis est surtout la.
Apple a insulté les victimes ?!
Trois jours pour activer l'authentification en 2 temps chez Apple... Ça laisse largement le temps...
J'ai demandé à un technicien de support d'iCloud pourquoi l'authentification à 2 facteurs n'est pas disponible depuis davantage de pays. Je vis en République Tchèque et ne peut pas l'activer car ce pays n'est pas sur la liste. Ils envisagent de pouvoir l'assurer sur d'avantage de réseaux mobiles dès que leur passerelle SMS les gérera mais ne se mouillent pas pour donner une date.
Je trouve cette limitation assez navrante, il y a des passerelles SMS comme Clickatell (que j'utilise depuis une de mes apps pour envoyer les mots de passe aux utilisateurs) qui gèrent depuis belle lurette un grand nombre de pays.
@DarKOrange :
Ben je n'ai pas d'authentification depuis mon premier iPhone en 2008.
Alors je ne suis pas à 3 jours près...
En fait c'est une sécurité comme une autre.
"My voice is my password", phrase mythique prononcée par S. Jobs lors de la présentation de l'authentification par empreinte vocale de Mac OS 9.
Avec la batterie de serveurs de traitement de la parole de Siri, ils auraient les moyens d'utiliser l'empreinte vocale des utilisateurs comme 2ème facteur (en cas d'IP inconnue par exemple) pour se connecter sur iOS et sur iCloud.
@ KeepAlive : « lors de la présentation de l'authentification par empreinte vocale de Mac OS 9. »
Par reconnaissance du locuteur (ou reconnaissance de la voix si on préfère) — le concept d'empreinte vocale n'existant pas réellement. ;-)
« Apple doit aussi être plus résistante aux mécanismes d’ingénierie sociale, et peut-être abandonner le système antédiluvien et largement inutile des questions « de sécurité ». »
Ce système n'est ni antédiluvien, ni inutile.
Il est très efficace pour les gens qui ne sont pas assez stupides pour y mettre des réponses trouvables via ingénierie sociale. Il devrait être évident à n'importe quel utilisateur un minimum soucieux de sécurité que pour une question demandant le nom de son premier instituteur, ce n'est pas réellement ça qu'il faut saisir comme réponse — mais apparemment, ça ne l'est pas, et beaucoup prennent ce système au premier degré.
@lamainfroide
Dont l'usage est imposé au vassaux d'un seigneur moyennant redevance
Belle definition d'un apple user face a iCloud ;)
5 Reasons To Question Apple's Data Security
http://www.zerohedge.com/news/2014-09-06/5-reasons-question-apples-data-security