Un homme plaide coupable dans le piratage des photos intimes de vedettes

Mickaël Bazoge | 16/03/2016 à 08:30

L’affaire remonte à deux ans seulement, mais cela ressemble à une éternité sur l’échelle de la sécurité des données. Début septembre 2014, des dizaines de photos intimes de célébrités apparaissaient en ligne, sans évidemment l’autorisation des auteurs. Ces images étaient principalement stockées sur les comptes iCloud et Gmail des victimes. Ces comptes étaient mal sécurisés et rapidement, on a su comment l’auteur de ce vol de données a opéré : par ingénierie sociale, en récupérant les identifiants et devinant les mots de passe et réponses aux questions confidentielles.

L’actrice Jennifer Lawrence a été victime des agissements de Ryan Collins —

À l’époque, Apple lançait à peine son système d’authentification à deux étapes, qui était alors peu déployé ; cela a changé depuis, et il est peu probable qu’un tel piratage de données puisse avoir lieu aujourd’hui en exploitant les mêmes techniques. L’affaire rebondit avec Ryan Collins, un homme résidant en Pennsylvanie, accusé par le Department of Justice de crime informatique : il lui est reproché d’avoir piraté l’accès aux comptes de ces célébrités.

Collins plaide coupable dans ce dossier. Il encourt entre 18 mois et 5 ans de prison. Le DoJ livre quelques indications sur le mode opératoire du pirate : de novembre 2012 à septembre 2014, il "hameçonnait" les vedettes, leur demandant leurs identifiants. Ces tentatives de phishing ont réussi pour plusieurs des victimes ; en ce qui concerne Apple, le malandrin a pu récupérer le contenu des sauvegardes iCloud.

En tout, Collins a pu pénétrer par effraction dans au moins une cinquantaine de comptes iCloud et plus de 70 comptes Gmail. Les enquêteurs doivent encore déterminer si le pirate a été celui qui a partagé ce contenu sur internet.

Pour aller plus loin :

Pearl fête ses 30 ans, un cadeau OFFERT après chaque commande ! 📍

Stage Manager sera finalement disponible sur d'anciens modèles d'iPad !

La 9e bêta de macOS Ventura est disponible

Test de l'Apple Watch Series 8 : un bon épisode de plus

fte | 16/03/2016 à 09:53

Et le FBI à réussi à le confondre sans décrypter tous les iPhones de Pennsylvanie et sans puces RFID intradermiques ? WOW ! AMAZING.

Hertzfield (non vérifié) | 16/03/2016 à 08:51

@fte :
Sir, you Made my Day

C1rc3@0rc | 16/03/2016 à 14:51

@fte
Ben en fait c'est grace a un pti gars de la NSA, qui en ayant marre de devoir partager "les oeuvres" présentent dans les cloud (ben oui, PRISM il sert aussi a cela ) qui égayaient ses longues nuits de surveillances au bureau avec le reste des internautes, a decidé de "donner" l'@#$% qui a mis toutes ces données sur le net! Si être agent de la NSA n'offre plus ces privilèges que reste-t-il?

«En tout, Collins a pu pénétrer par effraction dans au moins une cinquantaine de comptes iCloud et plus de 70 comptes Gmail.»

Ben justement, non pas par effraction!
L'accès aux comptes s'est fait sans effraction et sans exploiter une faille de sécurité.

La seule faille que l'on peut remarquer c'est que si les donnees avaient ete chifrée sur le cloud, le vil manipulateur n'aurait rien pu en faire. Bref les victimes de cet escroc sont avant tout les victimes du Patriot Act et de l'administration US qui interdit de chiffrer les données sur les cloud!

Adrienhb | 16/03/2016 à 08:56

Il n'y avait pas du Dropbox dans l'histoire aussi?

Rictusi | 16/03/2016 à 09:01

"il "hameçonnait" les vedettes, leur demandant leurs identifiants."

Perso quand je demande et qu'on me donne les clés d'un appart je ne considère pas rentrer dedans par effraction. Si les vedettes ont donnée leur mot de passe, tant pis pour elles. Si tu laisses ta maison ou ta voiture ouverture, ton assurance va aussi gentiment te dire d'aller te faire voir..

gwen | 16/03/2016 à 09:22

Il y a un truc qui s'appelle le savoir-vivre. Par exemple, au Japon, tu abandonnes ton portefeuille sur un banc de métro, tu as de la chance de le retrouver aux objets trouvés avec tout son contenu.

L'adage, « ne fait pas autrui ce que tu n'aimerais pas que l'on te fasse » est malheureusement peu respecté. Et c'est bien dommage.

Tu es juste un malotru qui n'hésite pas à voir son intérêt propre avant celui de la communauté.

C’est peut-être pour ça que le monde va si mal.

Archos | 16/03/2016 à 09:48

Ah non mais y a pas que le savoir vivre dans la vie. La delation et la politique de la peur ca fonctionne aussi tres bien.

Moi je vis a Singapore. J'ai perdu mon portefeuille l'annee derniere. Avec genre, ma vie dedans.
J'ai tout retrouve dans la meme semaine au commissariat.

Mais la verite c'est que soit tu le ramasse le rend, soit tu le laisse ou il est. Sinon tu as une chance d'etre accuse de vol et de finir en prison.

Ici on a meme une App Mobile pour la delation... Genre "lui fume dans un endroit interdit." Tu le prend en photo, tu te geolocalise... et bim. Action Taken.

Alors, elle est pas belle la vie ?

marc_os | 16/03/2016 à 09:50

@gwen :
Y a les Yakusa aussi au Japon...
Ah Munich où j'ai séjourné il y a bien longtemps, je m'étonnais que les gens laissent tout traîner dans les voitures. On m'a dit : Ici même les voleurs respectent les voitures. C'est sacré. Par contre, si tu demandes un Berliner au lieu d'un Krapfen (beignet), la boulangère te donnera autre chose. C'edtc moins pire que les Yakusa. Mais ils avaient aussi les Burchenchaften, confréries d'étudiants neo-nazies pour certaines... Mais pas de danger pour ton portefeuille et tes CD et lunettes ds ta voiture.

gwen | 16/03/2016 à 12:42

"Y a les Yakusa aussi au Japon..."
Attention, je n'ai pas dit que tout été rose au Japon. Loin de là. Comme dans tous pays il y a des matières à trouver des côtés sombres.

melaure | 16/03/2016 à 09:51

Perso j'avais oublié le mien à l'entré d'un ryokan à Kyoto, et quelqu'un est venu me le rapporter.

On verrait pas ça en France ... depuis mon voyage au Japon, je n'ai plus du tout le même regard sur les français (et assimilés) ... ;)

C1rc3@0rc | 16/03/2016 à 15:08

Ah ben moi il m'est arrivé la même chose en Suisse.

Et une amie en vacance avait perdu son iPhone en partant de l'hôtel: la réception a appelé son compagnon, c'était un client qui l'avait trouvé sur le parking... ah oui l'hôtel était en France, et le client français... et l'iPhone etait pas verrouillé!

Comme quoi...

ijimax | 16/03/2016 à 09:59

@gwen :
Exact.
En même temps tu parles d'un pays où on réserve sa place en posant sac, mobile et autres AVANT d'aller faire la queue, et où on laisse toutes ses affaires sur place le temps d'aller aux toilettes... :)

Lierpok | 16/03/2016 à 11:23

@gwen :
+1

Mécréant | 16/03/2016 à 12:47

@Rictusi:

Comme vous le fait remarquer Gwen, il y a le savoir-vivre: ce n'est pas parce qu'une porte vous est ouverte que vous pouvez entrer vous servir...

--> Le vol ne dépend pas du fait qu'il y ait effraction ou non.
--> La clause d'exclusion en absence d'effraction ne concerne pas la justice, mais les assureurs. Ces derniers adorent ajouter des clauses d'exclusions parce que ça leur permet de gagner plus d'argent en limitant les remboursements, pas pour une quelconque raison morale.
--> J'ai tendance à penser que, non, ce n'est jamais "tant pis pour [la victime]", que si une fille se fait violer ce n'est pas de sa faute, même si elle s'était mise en valeur, qu'un gamin qui se fait battre est bien une victime, même s'il a pu être difficile, etc.

Mais, surtout, votre métaphore n'est pas assez précise.
--> Ils n'ont pas donné leurs clefs: elles ont été volées par quelqu'un se faisant passer pour un autre. Le phishing, c'est le voleur qui se fait passer pour un policier afin d'entrer: c'est une escroquerie.
--> Concernant votre assurance la notion de vol s'étend, par défaut, à l'escroquerie.

C1rc3@0rc | 16/03/2016 à 15:19

@Mécréant

Le fait qu'il n'y ait pas d'effraction ni de violence ne change effectivement pas le fait qu'il s'agit d'un vol.
Ce qui change c'est que c'est la clef qui a ete volé et la responsabilité de ce vol ne concerne que la victime et l'escroc, cela ne concerne pas Apple ni Google. Et ça c'etait le coeur du brulot mediatique.

Apres, le probleme c'est que les données sur le cloud n'etaient pas cryptées, puisque c'est interdit par l'administration US grace au Patriot Act. Donc il suffisait a l'escroc d'obtenir l'acces au compte cloud, et toutes les données etaient en claires a sa portée!

La il y a une responsabilité de l'Etat US qui est claire et evidente. Les victimes ont ete abusé, par l'Etat, car elles pouvaient légitimement penser que leurs données sur le cloud etaient chiffrées: il est probable que si elle avaient su que le stockage etait en clair elles n'auraient jamais laissé ces photos sur ces clouds!

Mécréant | 16/03/2016 à 16:08

@C1rc3@0rc:

"Les victimes ont ete abusé, par l'Etat, car elles pouvaient légitimement penser que leurs données sur le cloud etaient chiffrées"
--> En quoi l'État a pu leur faire penser que leurs données étaient chiffrées?

"il est probable que si elle avaient su que le stockage etait en clair elles n'auraient jamais laissé ces photos sur ces clouds!"
--> La plupart des gens ignorent ce qu'est le chiffrement et mettent leurs données sur le cloud simplement parce qu'elle pensent qu'un nom d'utilisateur + un code est suffisant pour les protéger. Je connais même quelqu'un dont le compte s'est fait vider parce qu'un banquier a exécuté des ordres reçu d'une adresse mail contenant son nom + prénom (1)... 8-|

"Le probleme c'est que les données sur le cloud n'etaient pas cryptées"
--> Je ne suis pas informaticien, mais à partir du moment où le malandrin arrive à s'approprier les clefs du compte, en quoi leur chiffrement l'empêcherait-il d'avoir accès aux données? Parce que si c'est à l'usager de connaître la clef, ça ne ferait qu'un deuxième mot de passe tout aussi accessible au phishing, non?
(vous allez peut-être me dire ici que je ne comprends rien au cryptage: je connais juste le principe, mais ne l'ai jamais utilisé et ne sais donc pas comment ça fonctionne en pratique; je vous serais donc reconnaissant de m'éclairer/me détromper!)

"Ce qui change c'est que (...) cela ne concerne pas Apple ni Google"
--> Pas directement, nous sommes d'accord. La solution de la double authentification qu'utilise google (nécessité de donner un code reçu par sms) ou celle qu'Apple a déployée d'après l'article (je n'y ai jamais été confronté sur mon ipad, j'ignore donc tout de son fonctionnement) semble cependant efficace. Pour Google, le malandrin aurait moins d'une minute pour s'approprier le code reçu par sms: facile avec un accès physique au téléphone; compliqué sinon...

(1)la fameuse "ingénierie sociale" dans l'article.

françois bayrou | 17/03/2016 à 10:17

"Apres, le probleme c'est que les données sur le cloud n'etaient pas cryptées, puisque c'est interdit par l'administration (...)"

Non.
Le "pirate" avait les codes d'accès, récupérés comme expliqué dans l'article.
Alors, que les données soient cryptées ou pas, ca ne change rien à l'histoire : il y a accès, autant que le propriétaire réel pour lequel il se fait passer.
Le Patriot Act n'a rien à faire là dedans.
Si le FBI possède les codes d'accès au téléphone, pareil, il s'en fout que les données soient cryptées en SHA 1024/256 AES 2048.

Le vrai problème dans cette histoire, c'est les questions secrètes. "quel est votre plat préféré", etc., si tu est un anonyme ca va ( et encore ! ) mais quand tu es une personne publique, connue du quart de la planète, c'est super chaud !

http://www.begeek.fr/recuperation-de-mot-de-passe-et-questions-secretes-la-mauvaise-idee-170559

Mécréant | 17/03/2016 à 16:31

@C1rc3@0rc:

"Les victimes ont ete abusé, par l'Etat, car elles pouvaient légitimement penser que leurs données sur le cloud etaient chiffrées"

--> Ne serait-ce pas d'ailleurs à cause d'Apple elle-même que ses clients pensent qu'icloud est chiffré? (Voir : https://support.apple.com/fr-fr/HT202303 )

En fait, cela (ainsi que l'intervention d'un politicien ci-dessus...) me conforte dans l'idée que le chiffrement est nécessairement lié à une clef et qu'il n'aurait donc rien changé dans notre affaire de phishing...

Rictusi | 16/03/2016 à 20:01

je suis désolé, l'article dit bien :
"il "hameçonnait" les vedettes, leur demandant leurs identifiants" et non :
"il hameçonnait les vedettes, leur "demandant" leurs identifiants.

Pour moi cela fait toute la différence. xD Après l'histoire de l'assurance avec les clés c'était pour illustrer mais l'exemple n'était pas top je l'accorde.

Mécréant | 17/03/2016 à 10:13

@Rictusi:

Je suis désolé, je ne vois pas la différence entre vos deux phrases. Les guillemets se déplacent, je suppose donc qu'ils changent le sens du mot, mais je ne vois pas comment. Pouvez-vous expliciter?

Rictusi | 18/03/2016 à 11:06

Bien sûr. Bon l'article va tomber dans l'oublie, mais j'explique quand même.

D'après wikipedia à l'article guillemet on lit : "On peut aussi utiliser les guillemets pour indiquer l’ironie, pour les surnoms ou sobriquets, pour les mots cités en tant que mots, pour les phrases pensées dans les dialogues introduits par un tiret.". En français on utilise aussi les guillemets sur un mot pour indiquer qu'on utilise ce mot avec une nuance de défaut, faute de mieux. Exemple une mamie dira qu'elle "ouvre" internet sur son pc, bref elle lance son browser (l'exemple pourrait être mieux mais vous allez comprendre tout de suite).

Ainsi la phrase :
"il "hameçonnait" les vedettes, leur demandant leurs identifiants" veut dire qu'il demandait bien franchement les identifiants mais qu'il n'hameçonnait pas vraiment. Il fait donc une demande à laquelle on lui répond et hameçonner est entre guillemet car ça illustre la demande mais le mot est sans doute un peu fort ou non approprié, d'où les guillemets. Ça peut être remplacé par :
Il envoyait un mail aux vedettes en leur demandant leurs identifiants.

Alors que la phrase:
"il hameçonnait les vedettes, leur "demandant" leurs identifiants." veut bien dire qu'il hameçonnait franchement et demander est une illustration du fait d'hameçonner, expliquant à ceux qui ne connaisse pas le mot sa signification, faute mieux. Ça aurait pu être remplacé par :
Il hameçonnait les vedettes, leur soutirant/extorquant leurs identifiants par la ruse.

Donc d'après les termes de l'article, messieurs les jurés, je conclus que cette personne n'est pas coupable.

Mécréant | 18/03/2016 à 17:24

@Rictusi:

Je comprends maintenant ce que vous vouliez dire. Cependant, vous oubliez que dans la pratique, on utilise aussi les guillemets pour indiquer l'utilisation d'un(e) mot/expression impropre ou pas encore reconnue (="pas encore entrée au dictionnaire"):

- Le verbe "hameçonner" existe, mais sa nouvelle acception (celle qui permet de "traduire" le néologisme "phishing") n'est pas encore reconnue. Ceci suffit à justifier les guillemets dans l'article.

Notre accusé s'est fait passer pour Apple/Google dans ses mails... Il est donc coupable de tromperie par phishing .