Apple a corrigé une faille iCloud qui permettait de consulter en douce des informations confidentielles

Mickaël Bazoge |

En novembre dernier, Apple apportait un correctif du côté des serveurs iCloud afin de boucher une faille de sécurité. Cette vulnérabilité permettait à un malandrin de jeter un œil indiscret sur des informations confidentielles d’un utilisateur iCloud, comme ses notes par exemple. Apple n’a pas voulu communiquer à Hacker News l’ampleur de cette faille, pour laquelle le chercheur en sécurité Melih Sevim a donné davantage de précisions.

En fait, ce chercheur a découvert cette brèche en octobre dernier et a prévenu Apple de son existence mi-novembre. « Supposons que le numéro de téléphone du compte abc@icloud.com est 12345 ; quand je saisis ce numéro sur mon compte Apple ID xyz@icloud.com, je peux voir les données d’abc avec le compte xyz », décrit-il au site. Il fournit aussi une vidéo d’exploitation de la faille :

La faille résidait dans la manière dont Apple lie un numéro de téléphone stocké dans une information de facturation d’un identifiant Apple à un compte iCloud qui utilise le même numéro. La manipulation a permis à Melih Sevim de jeter un œil sur les notes d’autres utilisateurs Apple.

La faille touchant iCloud, pas besoin d’une mise à jour d’iOS pour la combler, il a suffi de resserrer les boulons côté serveur. Apple a corrigé le bug le 23 novembre, tout en expliquant à Melih que la vulnérabilité avait été repérée avant que le chercheur alerte le constructeur une dizaine de jours auparavant. À la grande déception du spécialiste d’ailleurs, qui s’en est plaint auprès de l’équipe de sécurité d’Apple :

Apple n’a pas voulu donner plus de précisions sur la nature de cette brèche, le nombre d’utilisateurs éventuellement touchés ou si cette vulnérabilité avait été exploitée. La Pomme ne donne jamais1 ce genre de détails, et ce cas particulier ne fait pas exception. Peut-être que cela évoluera à l’avenir : à la faveur de la faille FaceTime, le constructeur a en effet indiqué qu’il allait améliorer son processus de réception et de remontée des rapports de sécurité envoyés par des tiers.


  1. ou alors dans des termes très vagues du type « un petit pourcentage d’utilisateurs a été touché ». ↩︎

avatar Jeamy | 

En fait Apple ou Androïd : même combat : c’est poreux de partout et on nous vend à longueur de Keynote la sécurité.

avatar Dgamax | 

@Jeamy

C’est développé par des humains donc un truc 100% secure ca n’existe pas, de plus, on a de plus en plus de développeurs qui se spécialise sur des technologies dont ils savent même pas comment ça marche derrière, et même ceux connaissant vraiment leur technologie, il est quasi impossible de maîtriser toutes les couches qu’on a besoin pour exécuter du code, donc des failles on en verra toujours tant que les dev reste des humains :)

avatar wolfkeep | 

@Jeamy
Y’aura toujours des failles à régler c’est normal, mais tu ne peux pas dire que Android au final c’est pareil, je paye le prix fort pour que mes données ne soient pas revendu ou réutiliser pour de la politique ou autres. Tu peux en discuter avec un informaticien, la difficulté de hacker un compte icloud quand une personne à une bon mot de passe, les données sont chiffrés et cryptés et Apple est le seul à avoir accès à mes données contrairement à google qui les revend clairement.

avatar byte_order | 

@samheraan
> je paye le prix fort pour que mes données ne soient pas revendu ou réutiliser pour
> de la politique ou autres.

C'est quoi votre moteur de recherche par défaut sur votre iPhone ?

avatar wolfkeep | 

@byte_order

Qwant ❤️

avatar marenostrum | 

sur ce site t'es déjà pisté. et google ne vend rien (ils vendent de la publicité ciblée), ils les utilisent pour eux-mêmes nos données. c'est Facebook qui vend, parce que y en a pas d'autres moyens de se financer.

avatar wolfkeep | 
avatar horizon | 

Le prochain BigBang sera informatique ...

avatar bidibout | 

Perso je sais que suite à une panne iCloud un soir (de cette période je crois, iGeneration avait fait un article) j'ai eu pendant plus de 10 jours d'énormes soucis avec les mails, ils arrivaient parfois avec une semaine de retard, je ne sais pas si cela a un rapport.

Une ingé à suivi mon dossier pendant toute cette durée sans finalement avoir eu d'infos et jusqu'à il y a peu la synchronisation des mails était parfois assez lente.

avatar macam | 

@bidibout :
Depuis la dernière mise jour d'iOS je trouve que Mail rame à relever le courrier.

avatar SugarWater | 

Note est très pratique mais j’ai switché sur Simplenote car multiplateforme et « sauvegardable » indépendamment

avatar Lionel_F | 

@SugarWater

Est-ce que Simplenote est synchrone et transparente entre les devices comme l’est Note sur iPhone, iPad et Mac ?

avatar pat3 | 

@SugarWater

Mais tu as tes données sur les serveurs d’Automattic, et le logiciel n’est pas libre, et Automattic n’est pas clair sur ce qu’ils font de tes données, ce qui me retient fortement d’utiliser Simplenote alors que je suis à la recherche d’un preneur de notes multiplateforme et pratique d’usage.
J’ai bien un compte Wordpress, mais mes notes, c’est pas pareil. J’ai pas envie qu’elles se baladent sur le web.

avatar phil3 | 

@pat3

Il y a iA Writer qui enregistre tes notes au format txt sur iCloud et qui est multiplateforme.

avatar pat3 | 

@phil3

Pas pensé à iA Writer pour ça, comme je suis bêta testeur je vais essayer mais je n’arrive pas à être convaincu à nouveau par iaWriter alors que je l’avais beaucoup utilisé à ses débuts…

avatar phil3 | 

@pat3

Ah c'est marrant je suis également beta testeur. Je l'utilise énormément, aussi bien pour prendre de simples notes courtes et rapides à la volée que pour écrire des documents plus structurés. Et je le trouve génial dans les deux cas. En plus avec les tags et la fonction recherche il est très pratique pour retrouver une info. Voilà c'était juste un petit témoignage. Si tu as des questions sur certaines situations, n'hésite pas.

avatar Dgamax | 

Bon par contre quand on dit Google revend vos données, c’est pas tout à fait vrai, les annonceurs choisissent un type de personne à cibler avec des mots clés/catégorie et ensuite c’est Google qui affichera la pub ou non à ses utilisateurs en fonction des critères choisis par l’annonceur et vos centres d’intérêt compris par Google, Google garde vos données, les annonceurs qui payent Google pour vous cibler ne savent rien du tout sur vous à ce moment là.
C’est au moment ou vous cliquez sur leur pub et que vous commencez à rentrer des données personnelles sur le site de l’annonceur qui peuvent en déduire quelques choses.

avatar pat3 | 

@Dgamax

"Bon par contre quand on dit Google revend vos données, c’est pas tout à fait vrai,"

C’est même faux: ils les louent, ou plutôt, ils louent l’accès à votre profil. Vos données leur rapportent bien trop pour qu’ils les vendent !

avatar sangoke | 

L’incident touche-t-il des citoyens européens ? Je pense que oui... du coup suite au RGPD qui a été appliqué en mai 2018, Apple était censée le déclarer à la CNIL... Si ça avait été le cas on aurait certainement été au courant il me semble... merci pour la transparence..

avatar SyMich | 

S'ils n'ont pas respecté cette obligation de déclaration de l'incident, ils s'exposent à une amende (similaire aux 50 millions qui ont été infligés à Google par la CNIL) et ce, potentiellement, dans chaque Pays européen.

avatar sangoke | 

@SyMich

Je sais bien c’est pour ça que je dis ça, par contre c’est abusé de ne pas les obliger à rendre ça publique une fois corrigé, il est possible que l’ont stock des données sensibles dans ses notes par exemple sans les avoir protégé, ce n’est pas mon cas mais ça peut l’être pour d’autres qui ne se rendent pas forcément compte de ce que le cloud implique surtout quand il est promu par une société qui met en avant la sécurité et la confidentialité des données... Marketing quand tu nous tiens...

avatar rikki finefleur | 

Je croyais qu'ils avaient obligation de declarer maintenant ..pourquoi ne pas l'avoir fait ?

avatar SyMich | 

Ils l'ont peut-être fait. Ces déclarations n'ont pas nécessairement à être rendues publiques.

avatar Bigdidou | 

@SyMich

« Ils l'ont peut-être fait. Ces déclarations n'ont pas nécessairement à être rendues publiques. « 

C’est des déclarations confidentielles, alors ?
Mais à quoi ça sert ?

avatar phil3 | 

@Bigdidou

"C’est des déclarations confidentielles, alors ?
Mais à quoi ça sert ?"

J'espère que c'est pas nécessairement public. Sinon ça donne l'information à tous les malfrats en attendant que la faille soit comblée.

Pages

CONNEXION UTILISATEUR