Apple nie toute responsabilité dans le blocage par iCloud

Nicolas Furno |

Apple n’avait pas encore réagi face à la tentative de racket par blocage d’appareils iOS découverte hier (lire : Sécurité : retour sur les tentatives de racket Oleg Pliss). C’est désormais chose faite et le constructeur réfute auprès de ZDnet toute responsabilité de sa part dans cette affaire :

Apple prend la sécurité très au sérieux et celle d’iCloud n’a pas été compromise par cet incident. Les utilisateurs concernés doivent changer le mot de passe de leur Apple ID dès que possible et éviter d’utiliser les mêmes identifiants pour plusieurs services.

Rappelons que certains utilisateurs en Australie, mais aussi aux États-Unis et même en Europe ont eu la surprise de voir leurs appareils iOS bloqués par la fonction Localiser mon iPhone. Si quelqu’un récupère vos identifiants iCloud, il peut non seulement suivre vos appareils et donc vos déplacements, mais il peut aussi les bloquer et même les effacer à distance. Apple ayant affirmé que la sécurité de son service n’a pas été remise en cause, il est probable que les hackers ont tout simplement récupéré les mots de passe d’utilisateurs pour les bloquer manuellement.

On ne sait pas encore comment ces identifiants ont été récupérés, mais du classique mail d’hameçonnage au court-circuitage des serveurs d’Apple par DNS, les moyens ne manquent pas pour récupérer un mot de passe. Dans tous les cas, cet incident rappelle l’importance de son compte iCloud. On n’est jamais trop protégé et mieux vaut, si ce n’est pas déjà le cas, activer la protection du compte en deux étapes pour limiter au maximum ce genre de problèmes.

@SecurityWeek
Tags
#sécurité #oleg pliss
avatar Macacia | 

Sympa MacG.
Merci beaucoup.
JLM.

avatar mapiolca | 

En même temps, c'est comme si on donnait les clés de sa maison au voleur et qu'on attaquait le fabricant de la serrure !

avatar Macacia | 

Je venais de poster une solution pour quand même bénéficier d'une protection tierce, mais MacG a viré mon post. Pour des raisons qui m'échappent totalement.

avatar Shralldam | 

@Macacia

Probablement parce que votre message était formulé comme une publicité déguisée (je l'ai lu).

avatar Macacia | 

J'avais, de suite, retiré mon nom ainsi que le nom et la localisation du magasin. Dire que c'est au Sénégal expliquait le pourquoi du post, puisqu'on ne peut pas encore activer l'identification en deux étapes.

avatar profdejap | 

C'est quoi protéger son compte en deux étapes?

avatar Macacia | 

http://support.apple.com/kb/HT5570?viewlocale=fr_FR

avatar profdejap | 

Merci Macacia. Je vais activer ça alors

avatar sylvain15250 | 

J'ai reçu récemment un mail de phishing voulant me faire croire que je devais mettre à jours mes informations Apple. C'était d'ailleurs assez bien fait, la première page sur laquelle on était dirigé était une page de connexion et la suivante (peu importe les identifiant et mot de passe fournis) demandait les informations bancaires. Le plus étonnant, différent des autres mails de phishing et également très inquiétant était que le mail m'avait été envoyé à partir de ma propre adresse mail (!!). J'ai rapidement changé le mot de passe de la boite mail mais cela ne m'étonnerait pas que certains se soient déjà fait avoir ...

avatar codeX | 

Ce n'est pas très difficile d'envoyer un mail en se faisant passer pour quelqu'un d'autre. On peut découvrir la supercherie en regardant de près le header du message.

avatar sylvain15250 | 

Oui d'habitude on peut voir un nom "officiel" mais en regardant en détail on voit une adresse mail douteuse. Là le nom était "Apple" et l'adresse d'envoi était mon adresse hotmail...

avatar mija | 

A noter que l'identification en deux étapes n'est pas disponible en Suisse et en Belgique, notamment.... :-/

avatar LaurentR | 

Pas de possibilité d'identification en deux étapes chez moi (France)

avatar pickwick | 

Mais si cela marche très bien en France !!

avatar LaurentR | 

Effectivement, je n'avais pas vu qu'il fallait saisir les réponses aux questions de sécurité pour arriver à l'étape de configuration :) Merci. Du coup, est-ce que je peux aussi activer la vérification avec Localiser mon iphone comme c'est proposé ?

avatar Androshit | 

@LaurentR

Active tout, comme ça... ;)

avatar Androshit | 

Ils peuvent très bien aussi utiliser les identifiants de la base piquée à Adobe l'année dernière, sachant que les 3/4 des gens utilisent le même mot de passe dur tous leurs comptes...

avatar Ouya | 

Il est fort possible que ces mots de passe aient été récupérés sur des appareils jailbreakés, donc moins sécurisés.

avatar jelzehe | 

"fort possible", rien que ça...
Un appareil jailbreaké n'est pas intrinsèquement plus vulnérable qu'un autre, ce sont les applications qu'on y installe qui pourraient le rendre plus vulnérable. Hors j'ai comme un doute que le store cydia apprécierait ce genre de publicité.

avatar softjo | 

Apple nie également toute responsabilité dans les bug sur leurs os. Pour ça qu'ils ne sont jamais corrigés. J'ai compris maintenant. Merci !
:D

avatar ecosmeri | 

Si l'on desactiver localiser mon iphone mac ou ipad le temps que le soucis existe est ce que l'on peut etre a l'abri? Le hacker aura peut etre le mots de passe mais ne pourra pas bloquer sauf si il change alors le mot de passe de icloud mais il ne pourra alors pas faire sa demande de rançon si on utilise cette adresse pour les mail puisqu'on aura plus le mot de passe pour les relever.

avatar Madalvée | 

La responsabilité c'est quand même d'imposer un délai incompréhensible de 4 jours entre le début du processus et la configuration de la vérification en deux étapes, peut-on savoir pourquoi ?

avatar Philactere | 

@sylvain15250 :
J'en reçois tous les jours (ou presque) des spam "expédiés" via ma propre adresse mail, pour autant mon compte mail n'est pas piraté.
En fait le champ expéditeur d'un mail n'est pas protégé et on peut techniquement y mettre ce qu'on veut. Par contre en regardant en profondeur dans les headers du mail on s'apercevra que le serveur d'envoi ne correspond pas à un serveur du domaine de son serveur de mail.

Cela dit je n'ai jamais compris l'intérêt pour du spam de mettre comme expéditeur l'adresse du destinataire. Ça ne me met pas vraiment en confiance de recevoir un mail de moi que je n'ai jamais envoyé...

avatar RBC | 

Au fait ?
On sait combien de victimes il y a ?
Et ailleurs qu'en Australie ?
Car il suffit de se promener sur les réseau sociaux pour déjà connaître de nombreux mails (iCloud ou autres) qui sont souvent des identifiants iCloud. Un peu de force brute plus une pincée de rétro-ingénirie mélée à une base de donnée "hackée" ou un résultat de Pishing et le tour est joué.
Donc : Augmentez les nombres de caractères de vos mots de passe et surtout n'utilisez pas les mêmes identifiants pour plusieurs sites.

CONNEXION UTILISATEUR