Apple nie toute responsabilité dans le blocage par iCloud
Apple n’avait pas encore réagi face à la tentative de racket par blocage d’appareils iOS découverte hier (lire : Sécurité : retour sur les tentatives de racket Oleg Pliss). C’est désormais chose faite et le constructeur réfute auprès de ZDnet toute responsabilité de sa part dans cette affaire :
Apple prend la sécurité très au sérieux et celle d’iCloud n’a pas été compromise par cet incident. Les utilisateurs concernés doivent changer le mot de passe de leur Apple ID dès que possible et éviter d’utiliser les mêmes identifiants pour plusieurs services.
Rappelons que certains utilisateurs en Australie, mais aussi aux États-Unis et même en Europe ont eu la surprise de voir leurs appareils iOS bloqués par la fonction Localiser mon iPhone. Si quelqu’un récupère vos identifiants iCloud, il peut non seulement suivre vos appareils et donc vos déplacements, mais il peut aussi les bloquer et même les effacer à distance. Apple ayant affirmé que la sécurité de son service n’a pas été remise en cause, il est probable que les hackers ont tout simplement récupéré les mots de passe d’utilisateurs pour les bloquer manuellement.
On ne sait pas encore comment ces identifiants ont été récupérés, mais du classique mail d’hameçonnage au court-circuitage des serveurs d’Apple par DNS, les moyens ne manquent pas pour récupérer un mot de passe. Dans tous les cas, cet incident rappelle l’importance de son compte iCloud. On n’est jamais trop protégé et mieux vaut, si ce n’est pas déjà le cas, activer la protection du compte en deux étapes pour limiter au maximum ce genre de problèmes.
Sympa MacG.
Merci beaucoup.
JLM.
En même temps, c'est comme si on donnait les clés de sa maison au voleur et qu'on attaquait le fabricant de la serrure !
Je venais de poster une solution pour quand même bénéficier d'une protection tierce, mais MacG a viré mon post. Pour des raisons qui m'échappent totalement.
@Macacia
Probablement parce que votre message était formulé comme une publicité déguisée (je l'ai lu).
J'avais, de suite, retiré mon nom ainsi que le nom et la localisation du magasin. Dire que c'est au Sénégal expliquait le pourquoi du post, puisqu'on ne peut pas encore activer l'identification en deux étapes.
C'est quoi protéger son compte en deux étapes?
http://support.apple.com/kb/HT5570?viewlocale=fr_FR
Merci Macacia. Je vais activer ça alors
J'ai reçu récemment un mail de phishing voulant me faire croire que je devais mettre à jours mes informations Apple. C'était d'ailleurs assez bien fait, la première page sur laquelle on était dirigé était une page de connexion et la suivante (peu importe les identifiant et mot de passe fournis) demandait les informations bancaires. Le plus étonnant, différent des autres mails de phishing et également très inquiétant était que le mail m'avait été envoyé à partir de ma propre adresse mail (!!). J'ai rapidement changé le mot de passe de la boite mail mais cela ne m'étonnerait pas que certains se soient déjà fait avoir ...
Ce n'est pas très difficile d'envoyer un mail en se faisant passer pour quelqu'un d'autre. On peut découvrir la supercherie en regardant de près le header du message.
Oui d'habitude on peut voir un nom "officiel" mais en regardant en détail on voit une adresse mail douteuse. Là le nom était "Apple" et l'adresse d'envoi était mon adresse hotmail...
A noter que l'identification en deux étapes n'est pas disponible en Suisse et en Belgique, notamment.... :-/
Pas de possibilité d'identification en deux étapes chez moi (France)
Mais si cela marche très bien en France !!
Effectivement, je n'avais pas vu qu'il fallait saisir les réponses aux questions de sécurité pour arriver à l'étape de configuration :) Merci. Du coup, est-ce que je peux aussi activer la vérification avec Localiser mon iphone comme c'est proposé ?
@LaurentR
Active tout, comme ça... ;)
Ils peuvent très bien aussi utiliser les identifiants de la base piquée à Adobe l'année dernière, sachant que les 3/4 des gens utilisent le même mot de passe dur tous leurs comptes...
Il est fort possible que ces mots de passe aient été récupérés sur des appareils jailbreakés, donc moins sécurisés.
"fort possible", rien que ça...
Un appareil jailbreaké n'est pas intrinsèquement plus vulnérable qu'un autre, ce sont les applications qu'on y installe qui pourraient le rendre plus vulnérable. Hors j'ai comme un doute que le store cydia apprécierait ce genre de publicité.
Apple nie également toute responsabilité dans les bug sur leurs os. Pour ça qu'ils ne sont jamais corrigés. J'ai compris maintenant. Merci !
:D
Si l'on desactiver localiser mon iphone mac ou ipad le temps que le soucis existe est ce que l'on peut etre a l'abri? Le hacker aura peut etre le mots de passe mais ne pourra pas bloquer sauf si il change alors le mot de passe de icloud mais il ne pourra alors pas faire sa demande de rançon si on utilise cette adresse pour les mail puisqu'on aura plus le mot de passe pour les relever.
La responsabilité c'est quand même d'imposer un délai incompréhensible de 4 jours entre le début du processus et la configuration de la vérification en deux étapes, peut-on savoir pourquoi ?
@sylvain15250 :
J'en reçois tous les jours (ou presque) des spam "expédiés" via ma propre adresse mail, pour autant mon compte mail n'est pas piraté.
En fait le champ expéditeur d'un mail n'est pas protégé et on peut techniquement y mettre ce qu'on veut. Par contre en regardant en profondeur dans les headers du mail on s'apercevra que le serveur d'envoi ne correspond pas à un serveur du domaine de son serveur de mail.
Cela dit je n'ai jamais compris l'intérêt pour du spam de mettre comme expéditeur l'adresse du destinataire. Ça ne me met pas vraiment en confiance de recevoir un mail de moi que je n'ai jamais envoyé...
Au fait ?
On sait combien de victimes il y a ?
Et ailleurs qu'en Australie ?
Car il suffit de se promener sur les réseau sociaux pour déjà connaître de nombreux mails (iCloud ou autres) qui sont souvent des identifiants iCloud. Un peu de force brute plus une pincée de rétro-ingénirie mélée à une base de donnée "hackée" ou un résultat de Pishing et le tour est joué.
Donc : Augmentez les nombres de caractères de vos mots de passe et surtout n'utilisez pas les mêmes identifiants pour plusieurs sites.