"Piratage" d'iCloud : les hackers tentent de montrer qu'ils sont sérieux
On pensait avoir affaire à des pieds nickelés, mais il y a peut-être un fond de vérité autour de cette bande de pirates qui prétend avoir en sa possession l'accès à des centaines de millions de comptes iCloud. Cette équipe, qui s'est baptisée la Turkish Crime Family, exigeait d'Apple une rançon de 75 000 $ en bitcoin ou Ethereum, ou encore 100 000 $ en cartes iTunes, des montants qui peuvent paraître dérisoires en regard de la gravité des faits… s'ils sont avérés bien sûr, ce qu'Apple ne semble pas croire (lire : Apple dément tout piratage de ses serveurs iCloud et Apple ID).
ZDnet a obtenu de ce groupe basé à Londres 54 identifiants et mots de passe de comptes iCloud, des comptes valides avec des adresses iCloud.com (lancé en 2011), me.com et mac.com, dont les créations remontent donc au début des années 2000. Il est probable que ces informations aient été obtenues par l'agrégation de plusieurs sources, selon un expert en sécurité contacté par le site.
Le site a également tenté de contacter les personnes derrière ces identifiants, dix ont finalement donné signe de vie qui possèdent iPhone, Mac et/ou iPad ; il n'y a donc pas un profil spécifique visé. Ces utilisateurs malheureux habitent tous au Royaume-Uni et n'ont pas changé de mot de passe depuis la création de leurs comptes ; certains (mais pas tous) utilisent les mêmes identifiants et mots de passe pour d'autres services en ligne. Un rappel qu'il est nécessaire de modifier régulièrement les mots de passe de ses comptes, et impérieux d'utiliser des informations différentes pour chaque service utilisé.
D'après les déclarations des uns et des autres, ZDnet a établi que la date de la brèche ayant permis aux pirates d'obtenir ces informations est comprise entre 2011 et 2015. Ce qui pourrait coller avec les déclarations d'Apple, qui a expliqué que le contenu de cette liste affiche des ressemblances avec des données subtilisées lors d'un piratage de 100 millions de comptes Linkedin il y a cinq ans.
Deux des victimes ont constaté ces derniers jours des tentatives de réinitialisation de leurs comptes iCloud. Les pirates auraient voulu démontrer leur dangerosité. Tout cela montre qu'il n'y a pas de fumée sans feu et que cette Turkish Crime Family, au-delà de la rançon un peu fantaisiste (le prix a sans doute grimpé depuis), est sérieuse même si le groupe a semblé « naïf » et « inexpérimenté » selon le site ; les pirates cherchent avant tout la gloriole médiatique au vu du nombre de journaux et de sites contactés pour relater leurs « exploits ».
Mais malgré tout, ils ont en leur possession des informations très sensibles. Reste à savoir si cela se limite à quelques dizaines, ou des centaines de millions comme ils l'assurent. Les utilisateurs ayant activé l'identification deux facteurs devraient être protégés de ce genre d'attaque.
Des mémés et des papis ou des trolls de macg
Je vois qu'on file la métaphore du Dr Evil
Avant, j'avais le même mot de passe sur tout les sites, sur mon mac, et mes adresses mails...
Mais c'était il y a bien longtemps. Ça fait au moins 10 ans que je les modifie régulièrement, et qu'ils sont tous différents.
Apple a démenti que ses serveurs iCloud ou AppleID aient été compromis (ce que personne, pas même les pirates n'avait affirmé) mais n'a pas nié que ces pirates soient en possession d'une liste de comptes avec identifiants et mots de passe potentiellement valides (en indiquant que cette liste avait probablement été obtenue via le hacking de sites tiers il y a quelques années).
En clair Apple se dédouane en expliquant que si cette liste est dans la nature ce n'est pas de sa faute car ce n'est pas en piratant ses propres serveurs qu'elle a été obtenue.
Il n'en reste pas moins que le risque subsiste pour les propriétaires de ses comptes même si Apple explique également qu'ils vont redoubler de vigilance pour détecter des accès anormaux aux comptes iCloud ou AppleID (via probablement la surveillance d'adresse IP ou ordinateur se connectant inhabituels).
Pour ce qui est de la protection apportée par la double identification, elle doit protéger efficacement l'accès au compte iCloud ou à AppleID, par contre, je ne crois pas qu'elle empêche l'effacement à distance d'un iPhone ou iPad via "localiser mon iPhone".
@r e m y
Pour effacer à distance avec "Localiser mon iPhone", il faut être connecté sur un appareil, et donc être d'abord passé par l'identification à deux facteurs...
@House M.D.
Il me semblait qu'on pouvait utiliser Localiser sur n'importe quel appareil sans passer par l'identification à 2 facteurs (ce qui serait préférable si c'est justement l'iPhone servant à recevoir le code qui est perdu et que l'on veut localiser voire effacer)
@r e m y
Oui il me semble qu'on peut quand même localiser et effacer l'iPhone sans pour autant utiliser un appareil reconnu avec l'id à double facteur.
Testez vous même depuis un appareil tierce, en allant sur iCloud.com vous pouvez vous connecter mais pas avoir accès à toutes vos donnés iCloud si vous n'entrez pas le second code via la double authentification.
Vous pouvez néanmoins accéder à la localisation et l'effacement.
C'est mieux ainsi au cas où quelqu'un vous vol votre appareil de confiance n° 2 vous avez toujours un recours
Effectivement, cette identification en deux etapes est totalement stupide. A moins de disposer d'un telephone basique dedié, l'identification se fait sur un appareil lui meme identifé avec le meme Apple ID... bref le niveau de protection est equivalent a celui de la cle que l'on planque dans le pot de fleurs... a coté de la porte!
Seul vraie protection: un identifiant unique (jamais la meme adresse email par exemple) disposant d'un mot de passe de plus de 16 carateres non trivial (cad pas de date anniversaire, pas de prenom, nom du chien, de la rue,... mais des manjuscule/minuscule + chiffre + signes (!@#$^&*()[]{}><?/..)
et en changer régulièrement.
Tu as raison je confirme
@remy : c'est ce que je pensais aussi. Quelqu'un peut confirmer ?
@bazino
Remy a raison.
@bazino
Avec iOS 10.3, et si on a l'authentification a deux étapes chaque action sur un compte même le fait de demander à consulter les infos de l'utilisateur, demande une vérification avec l'appareil de confiance programmé.
J'ai fait des essais à la sortie d'iOS 10 bêta 4
@Maverick73
Mais pas la localisation et l'effacement à distance! Sinon comment tu fais si c'est l'appareil de confiance qui est perdu ou volé et que tu veux effacer....
Ce ne serait pas plus mal qu'ils réussissent car de toutes façon ça arrivera un jour.
Et ça fera les pieds à ceux qui ont aveuglément confiance dans le cloud ...
@melaure
Pourquoi tant de haine…il existe un outil pratique (comme iCloud) que l'on peut utiliser, certains cherchent à le descendre, protégeons le un peu plus (chiffrement)…Ben non, la loi va peut-être l'interdire…
Le jour où l'on t'interdira de te protéger (grâce un outil) tu diras aussi bien fait pour ceux qui l'utilisaient ☝️☀
@Billytyper2
Don't feed the troll !
@melaure
Tu es devenu fou...
Hasard ou pas mais il y a 2 jours mon compte Apple s'est retrouvé bloqué et j'ai du réinitialiser mon mot de passe...
Les dits clients des comptes apple seraient-ils les complices des hackers ?
@Mac13
Je n vois pas pourquoi!
Les listes d'identifiants et mots de passe obtenus lors du hacking de certains sites (LinkedIn, Yahoo, Flickr....) se vendent sur le Net.
Il est assez simple de s'en procurer et d'y faire le tri des identifiants utilisant une adresse email @mac.com, @me.com et @icloud.com
Et comme beaucoup utilisent le même mot de passe partout, il y a une forte proportion de ces identifiants dont le mot de passe utilisé sur les sites en question (et figurant sur la liste achetee) est aussi le mot de passe de leur compte iCloud ou AppleID.
C'est aussi simple que ça.
Mais est-ce qu'ils ont des "lasers" ?
M'en fout, j'ai jamais activé iCloud...^^
Les hackers visent de plus en plus haut. Bientôt dans un futur pas si lointain, des unités spécialisées s’occuperont d'eux, nous les retrouverons pendu un couteau dans le dos.
Rien n'est parfait.
Quelqu'un qui a piraté un identifiant Apple et le mot de passe peut effectivement localiser et effacer tous les bidules qui y sont liés.
Pour aller plus loin il doit avoir accès à un des appareils qui peuvent recevoir le code de vérification (il peut le sélectionner sur icloud), ainsi que le code d'accès de cet appareil (s'il y en a un !) pour pouvoir lire le code de vérification.