Apple ID : un important problème de sécurité en cours de résolution [MAJ]

Stéphane Moussie |
Il est très facile de voler un identifiant Apple, qui sert notamment à iCloud et iTunes, d'après The Verge. Le site rapporte qu'il suffit de connaître l'email lié à l'identifiant Apple et la date d'anniversaire de son utilisateur pour réinitialiser le mot de passe. Pas besoin de logiciel particulier pour l'opération, tout est réalisable avec les outils d'Apple.



La manipulation consiste à saisir une URL particulière lorsque l'on répond à la question de sécurité concernant la date de naissance sur la page iForgot, celle qui sert à réinitialiser un mot de passe. The Verge dit avoir réussi l'opération et qu'« à peu près n'importe qui peut y parvenir ».

Apple a justement dévoilé hier une authentification à deux facteurs qui permet de renforcer la sécurité de son compte (lire : iCloud et Apple ID : l’authentification à deux facteurs disponible). Las, cette fonction est réservée à quelques pays pour le moment (États-Unis, Royaume-Uni, Irlande, Australie et Nouvelle-Zélande), mais surtout le site américain note que son activation peut prendre trois jours.

Apple semble néanmoins travailler sur le problème à en croire la page iForgot qui est actuellement « en maintenance ». L'entreprise n'a pas encore communiqué sur la situation, mais l'indisponibilité de la page iForgot rend le tour de passe passe inopérant.

[MAJ 23h27] : Apple a confirmé le problème de sécurité et dit travailler sur une solution.

Tags
#sécurité #iCloud #apple id
avatar huguesdelamure | 
Mince ça commence à faire beaucoup
avatar laurenzobiato | 
À quand L'unification des login? C est vraiment fatiguant?
avatar Alex94 | 
Article a peine publié, iforgot déjà en travaux :-) Certes c'est une faille mais elle ne va pas durer longtemps a mon avis !!
avatar Hari-seldon | 
C est la que je suis heureux de ne pas avoir donner ma vrai date de naissance et d voir 3 mails différents suivant les utilisations. ;-)
avatar thomasi | 
Ça pas intelligent non plus de donner la procèdure à suivre enfin je dis ça
avatar joneskind | 
J'ai absolument rien compris à la manipulation. C'est quoi cette histoire d'adresse mail particulière ? Sur iForgot il faut répondre à une question secrète non ? Pas simplement donner sa date de naissance.
avatar thomasi | 
On peut dire qu'il y a un problème de sécurité sans tout dévoiler
avatar Francis Kuntz | 
Je vois qu'Apple n'est toujours pas prêt de s'améliorer au niveau web. c'est vraiment toujours des baltringues...
avatar patrick86 | 
@thomasi : Je suis d'accord. Vivement la mise en place de la dite nouvelle méthode en France !
avatar froco61 | 
En suisse on l'a aussi depuis hier. Dans les faits c'est faisable mais quand il ne s'agit pas de l'adresse ip habituelle on a toujours été prévenu
avatar RDBILL | 
@Francis Kuntz : 'Je vois qu'Apple n'est toujours pas prêt de s'améliorer au niveau web. c'est vraiment toujours des baltringues...' Tu es toujours aussi mesuré toi ! Apple est une des entreprise à posséder l'un des plus gros portefeuille de compte client avec les données de carte bancaire liées. Cela fait des années que ça dure et surtout il n'y a jamais eut, chez Apple de problème de piratage des données. Ce n'est pas du tout le cas de TOUS les autres services de paiement en ligne type Amazon, ou même Facebook.... La faille décrite ci-dessus serait donc extrêmement facile à reproduire, elle existerait depuis longtemps et elle n'aurait pourtant jamais été trouver jusque là ?? mouaiche....
avatar engy54 | 
quand et comment serons nous prévenus de la mise en place de ce nouveau système?
avatar RDBILL | 
@showbiz787 : 'Mais qui veut tuer la pomme en ce moment??' Alors ça oui, je pense comme toi mais je ne vois pas qui... Faut dire qu'il y en a des gens qui pourraient souhaiter son déclin ! Android ? Samsung ? Scott Forstal ? Jon Rubinstien ? et tous les autres... En tout cas ça devient lassant cette cabale systématique... Que ceux qui n'aiment pas Apple s'en détournent et nous laisse en user comme bon nous semble...!
avatar RDBILL | 
@showbiz787 : J'y suis, une news juste un peu avant apporte des éléments de réponse à ta question : Il y a un très gros contrat en cours pour Apple qui vise à équiper le département Américain de la défense. Plus de 650 000 appareils: iPad et iphone... "Au total il y en a pour plusieurs centaines de millions de dollars, une jolie commande qui devrait aider à relancer le cours de l'action d'Apple." Et ce n'est pas récent. ce contrat est en renégociation depuis des semaines... !
avatar letofzurichois | 
froco61 En suisse on l'a aussi depuis hier. Dans les faits c'est faisable mais quand il ne s'agit pas de l'adresse ip habituelle on a toujours été prévenu Ah bon ... ? Je suis en Suisse aussi et toujours rien !
avatar RDBILL | 
une précision importante à propos des comptes Apple ID : un accès frauduleux au compte ne permet pas de récupérer le numéro de carte, mais permet de faire des dépenses avec... Si ça peut vous rassurer un peu !
avatar liocec | 
@joneskind : Le gros pb, ce n'est pas Apple mais l'utilisateur. 99 % [beaucoup] utilisent le ou les mêmes mots de passe pour tout les sites / mails etc... Du coup il suffit d'avoir un email et ce mot de passe (je ne dirais pas comment faire, mais c'est simple est peu coûteux). Ensuite on remonte pas à pas tous les sites les plus connus (amazon, Apple, Facebook, etc...). Ayant accès aux emails on va "gentillement" attendre de recevoir les mots de passe manquants (les identiques on les a déjà). Donc une seule règle : pour tous les sites avec des données à risque (paypal, Apple, mail etc...) un unique mot de passe ... Oui c'est chiant, mais tellement efficace.
avatar supermars | 
Moi, je trouve ça énorme et inquiétant !
avatar Biking Dutch Man | 
La seule règle à suivre: pas de ni de carte de crédit mais l'achat de vouchers, cela limite le risque
avatar Billytyper2 | 
Vive la carte iTunes!
avatar Bucks | 
Mais LOL la sécurité Apple est catastrophique. Quand ont pense qu'il suffit de connaître le mail et le MDP de quelqu'un pour le suivre à la trace via Localiser Mon IPhone. Sérieusement ...
avatar Anonyme (non vérifié) | 
_______________________________________________________________
avatar iDav92 | 
@rdbill : Samsung ne souhaite pas qu'Apple coule: c'est son département Recherche & Développement!! :-)
avatar choukii | 
Ma copine a reçu un mail soit disant d'Apple comme quoi son compte allé être supprime si elle ne vérifierai pas ses cordonnes données bancaires. Mais en prennent le temps de lire le mail tout suite on s'aperçoit que se n'est pas Apple, de la façon d'où s'écrit formule enfin bref et le plus révélateur c'est la adresse qui de l'expéditeur qui fini par " .org " alors que Apple fini par " .com " . Fais tourner l'info autour de vous car sa sent l'arnaque.
avatar alan63 | 
face visible de l'iceberg et c'est partout pareil.....
avatar insgardoced | 
C est catastrophique!!! Il suffit de connaître le mail et la date de naissance !! Heureusement que les autres font mieux!! Free: le mail suffit Paypal: mail et date naissance Gmail: mail de recup et question Yahoo: mail de recup Priceminister: mail suffit Alors oui les autres font mieux!! Heu en fait non c est pareil!!! Il suffit de connaître 2 ou 3 choses du propriétaire et c est réglé!! Alors arrêtez de critiquer Apple les autres font pas mieux!!
avatar curly bear | 
Je ne comprends pas qu'on critique "The Verge" que ce coup. Ils n'ont pas révélé quelle URL il fallait entrer mais ont communiqué avec Apple à ce propos. Très différents de tous ces sites qui publient en intégralité une méthode pour déverrouiller etc.
avatar Lio70 | 
@bucks Vrai mais d'un autre cote, faut pas etre malin pour donner son mot de passe a quelqu'un d'autre qu'un proche de grande confiance. @insgardoced Vrai aussi mais de la part d'Apple qui est un symbole d'excellence, on atendait mieux des le depart.
avatar Macmmouth | 
@insgardoced Dans les cas que tu cites, il faut l'accès aux mails et non pas seulement connaître l'adresse mail. Ça n'a rien à voir.
avatar nayals | 
@insgardoced Désolé, mais Gmail et son authentification à deux facteurs complique vraiment la tâche aux pirates...
avatar patrick86 | 
@ choukii : Redirige le mail à cette adresse : reportphishing@apple.com Apple ne supprimera pas un compte pour cause de données de paument invalide, donc c'est forcément une arnaque.
avatar bigham | 
@rdbil "Cela fait des années que ça dure et surtout il n'y a jamais eut, chez Apple de problème de piratage des données." C'est beau la mémoire sélective. http://mjtsai.com/blog/2012/08/07/my-apple-id-episode-from-2008/ http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/
avatar Bigdidou | 
@insgardoced Relis la news et essaie de comprendre la procédure. Le problème c'est l'URL de contournement. Essaie de pirater un compte Paypal avec juste une adresse mail et une date de naissance. Le message de confirmation, tu le reçois où ? Bon courage...
avatar zack101 | 
The problem is fixed Check Jim darlymple's The loop website
avatar zack101 | 
http://www.loopinsight.com/2013/03/22/apples-password-recovery-page-is-back/
avatar ezmac | 
Oui mais non ... Mes comptes iTunes et Développeur sont constamment attaqués par force brute ( au moins 4 fois par semaine ) et ça depuis de 2 ans. Mais c'est pas moi qui va râler de l'ajout de cette nouvelle sécurité.
avatar Anonyme (non vérifié) | 
Tres réactif apple en tout cas .....
avatar liocec | 
@insgardoced : 'Paypal: mail et date naissance' Alors tu n'as pas le même Paypal que moi !

CONNEXION UTILISATEUR