Le site développeurs d'Apple victime d'une intrusion revendiquée par son auteur

Florian Innocente |


Le site développeurs d'Apple a fait l'objet d'une tentative d'intrusion jeudi dernier. C'est pour cette raison qu'il a été fermé en fin de semaine et qu'il est toujours inaccessible, aujourd'hui encore.

Après avoir évoqué une maintenance plus longue que prévu, Apple explique le fond de l'affaire sur la page d'accueil. Elle n'exclut pas que des noms et/ou des adresses électroniques de ses développeurs enregistrés puissent avoir été obtenus, mais les informations personnelles de nature sensible sont chiffrées.

Le système de ce portail développeurs est donc en pleine restructuration. Apple a ensuite déclaré à nouveau auprès de Macworld que le serveur auquel cet intrus avait eu accès n'était associé à aucune donnée personnelle des clients iTunes, lesquelles sont également chiffrées. Pas d'accès possible non plus aux apps stockées où aux serveurs sur lesquels les informations de ces apps sont enregistrées.

Dans une vidéo postée sur YouTube, Ibrahim Balic (Linkedin), le spécialiste en sécurité qui revendique cette intrusion, explique avoir signifié à Apple sa faille de sécurité quelques heures avant que le site ne soit fermé.

Il montre dans son clip qu'il a pu accéder à des identifiants et adresses électroniques (100 000 entrées selon lui). Mais aucune autre information, a-t-il confirmé dans un mail à 9to5mac. Il affirme avoir réalisé cette opération à des fins de recherche en sécurité, et il compte supprimer les données obtenues.



[MàJ à 9h] : Dans l'email publié par The Next Web, Ibrahim Balic raconte avoir relevé 13 bugs sur le site d'Apple, et tous ont été soumis à l'intéressée via la page dédiée aux développeurs.

Il a extrait et présenté les détails de 73 comptes pour appuyer sa démonstration auprès d'Apple. 4 heures après ce signalement, Apple a fermé l'accès au site développeurs. Il a demandé à Apple par mail si cette dernière souhaitait qu'il interrompe ses recherche pour ne pas la mettre en difficulté, mais sans réponse à ce jour.

Devant la description faite parfois de cette intrusion, il insiste sur son côté purement académique, sans motivation de nuire ou de collecter des information à des fins illégales.

« In some of the media news I watch/read that whether legal authorities were involved in its investigation of the hack. I’m not feeling very happy with what I read and a bit irritated, as I did not done this research to harm or damage. I didn’t attempt to publish or have not shared this situation with anybody else. My aim was to report bugs and collect the datas for the porpoise of seeing how deep I can go within this scope. I have over 100.000+ users details and Apple is informed about this. I didn’t attempt to get the datas first and report then, instead I have reported first.

I do not want my name to be in blacklist, please search on this situation. I’m keeping all the evidences, emails and images also I have the records of bugs that I made through Apple bug-report. »


avatar nova313 | 
Le site des developers est archaïque niveau code. Il n'est don pas surprenant de le voir se faire pirater. Perso, j'ai préféré changer mon mot de passe de mon compte dev, car même si Apple se veut rassurant, des données ont bien pu être récupérés.
avatar liocec | 
C'est clean de leur part de le reconnaître et surtout d'agir aussi rapidement.
avatar liocec | 
@nova313 : 'ai préféré changer mon mot de passe de mon compte dev,' Tu fais comment pour changer ton mdp si t'as pas accès à ton compte dev ?
avatar pacou | 
@liocec : On le tient le pirate
avatar Sébastien MICHOY | 
@liocec : "Tu fais comment pour changer ton mdp si t'as pas accès à ton compte dev ?" Le mot de passe dev' correspond à ton Apple ID. Tu peux donc le changer à partir d'iTunes.
avatar noooty | 
Il donne l'impression de vouloir se faire embaucher par apple, alors qu'il a fait ça avec un pc windows...
avatar jackWhite92 | 
C'est plutôt sur les autres sites qu'il faut changer ton mdp (si tu utilises le même mdp partout).
avatar falemaster | 
C'est peut etre une bonne chose ! Parce que le dev portal est horrible d'utilisation ... Peit etre en profiterons t 'ils pour le simplifier ...
avatar Malvik2 | 
Pour éviter les ennuis sur le net, perso j'essaye de ne jamais enregistrer et lier de carte bancaire sur un compte-site, préférant les cartes prépayés...mais il est vrai que ce n'est pas évident parfois.
avatar henpat | 
Si ça coince, forcez. Si ça casse, ça devait probablement être réparé, de toute façon. - Murphy
avatar USB09 | 
@liocec Mot-de-passe ? À tout hasard : monappleID.com
avatar mbpmbpmbp | 
On prend les paris qu'il va se faire poursuivre en justice ?
avatar redchou | 
"I am not a hacker, I do security research" -Hacker, spécialiste de la sécurité informatique. -Hacker, personne qui aime comprendre le fonctionnement interne d'un système, en particulier des ordinateurs et réseaux informatiques. (Source Wikipédia) T_T
avatar Eaglelouk | 
Ce genre de mec est complètement ridicule... Qu'il revendique l'attaque, rien à foutre, mais de là à faire une vidéo youtube qui montre le résultat de son exploit : nul à chier. Le mec a même pas pris la peine de flouter les adresses mail dans la vidéo. Et le coup du message à la fin me fait bien rire aussi… "j'adore mon boulot, j'suis trop gentil alors je supprimerai les données quand Apple aura corrigé le bug :-)" BISOUNOURS TOUSSA, mon cul. Bref, un bon gros connard, et pardonnez-moi l'expression.
avatar johnios | 
Donc c'est lui qu'il faut défoncer si on a une intrusion sur notre compte developper ?
avatar DarkChocolâte | 
Son Anglais est nul à chier, il ferait mieux de faire des recherches dans ce domaine, + musique pourrie sur sa vid, bref, un gros loser.
avatar redchou | 
@DarkChocolate En même temps, c'est moi où cette phrase est mal dite: "Last Thursday, an intruder attempted to secure personal information of our registered developers from our developer website." To secure? Ça veut dire pirater?
avatar Mathias10 | 
@Eaglelouk : Tu ne sais pas si le mec va ou non les supprimer. Il existe encore des gens honnêtes sur Terre. Avec 100.000 mails de dev il ne fera rien, avec un tel hack en revanche il sera embauché dans une grosse boîte.
avatar Zouba | 
Marrant tous ces commentaires ! Le mauvais serait le mec qui pointe les failles du site d'Apple et pas la bande de nuls qui a codé le site ? Hébé…
avatar mikele | 
> To secure? Ça veut dire pirater? Non, ça veut dire se procurer... Un "faux ami" comme "eventually"
avatar BLM | 
@Sebastien Michoy «Le mot de passe dev' correspond à ton Apple ID. Tu peux donc le changer à partir d'iTunes.» Non. Mon mdp dev n'est pas celui de mon compte iTunes.
avatar Nesus | 
@Zouba : Eaglelouk a raison. Qu'il est réussi et souligné le problème est une bonne chose, mais faire une vidéo de comment il a fait et violer la vie privé de dev en ne filoutant pas les adresses c'est inadmissible. Ça montre qu'il est très loin d'avoir pour préoccupation la vie privé d'autrui et donc par extension, ça fait fortement douter sur ces motivations et déclaration.
avatar Ellipse | 
Pour qu'Apple ferme le site, la faille doit être vraiment importante. C'est une mesure sensée et courageuse, même si cela va leur coûter à court terme en terme d'image.
avatar rikki finefleur | 
Pareil, moi j'ai engueulé mon garagiste de gros connard, lorsqu'il m'a appris que mes durites de frein étaient en train de se cisailler.. J'en ai profité pour lui mettre un bourre pif.. Parfois des commentaires sont pffff. Il vaut mieux s'interroger sur la sécurité sur le web. Ils manquent pas d'ingenieurs chez Apple non? @je sais pas qui est le plus looser. Celui qui maintient le site Celui qui dénonce les failles que le 1 n'a pas vu. Celui qui traite de loser le n°2 que le n°1 n'avait pas vu.
avatar Shralldam | 
J'ai un peu du mal avec ce procédé très tendance qui consiste à se rendre "célèbre" en prenant en otage une entreprise et la communauté qui est derrière. Tout ça en se faisant passer pour quelqu'un de vertueux. Pour moi, le temps qu'il a laissé à Apple (4 heures) est extrêmement court, il avait donc planifié son action depuis le début. Se faire passer pour un sauveur alors que le but est clairement le coup de pub, c'est un peu limite. Mais bon, quand on est prêt à tout...
avatar Rez2a | 
Je suppose que le fait de diffuser en clair des informations personnelles obtenues illégalement doit bien être puni par la loi, non ? En tout cas la vidéo ne laisse pas vraiment de doutes sur les motivations ni sur l'amateurisme du "hacker". Salut Ibrahim, on t'oubliera vite.
avatar Orus | 
Apple n'ayant pas bcp d'humour, le hacker en question va désormais avoir une vie bien difficile...
avatar stéphane83 | 
Pas d'iOS beta 4 pour aujourd'hui alors :)
avatar XiliX | 
@Eaglelouk et @nesus A quel moment de la video il a indiqué la méthode pour hacker le site d'Apple ? Il a juste dit par injection de code, mais je te rassure, encore faut-il trouver quels codes ? et la video ne montre que les données qu'il a pu récupérer pour montrer qu'il n'a pas bluffé. Mais, c'est vrai qu'il aurait du flouter le nom des dev et son ID sur la video...
avatar MA8306 | 
Pffffff ils sont nul chez Apple avec leur codage archaïque....
avatar DTreize | 
A partir du moment où le hacker veut juste démontrer et aider le site concerné a renforcé ses failles de sécurité, je suis pour. Si c'est, evidemment, à des fins illicites, je suis contre.
avatar twistan_ | 
C'est le même article que le figaro
avatar MA8306 | 
Oui mdrr ^^
avatar Iaart | 
@Orus Pas forcement, il va surement se faire engager maintenant. C'est en quelques sorte une forme de CV pour Hacker!
avatar Aughta | 
C'est ça qui fait tant de bruit ? C'est juste les identifiants qu'il a, par sécurité changer de mot de passe suffit. Apple n'a jamais été très doué en web de toute manière, ça ne m'étonne pas et bon, le devcenter je l'ai toujours trouvé archaïque, s'ils pouvaient nous changer ça par la même occasion. Finalement j'ai trouvé Apple très pro et transparente. Mauvaise nouvelle, bonne nouvelle.
avatar rondex8002 | 
Ce genre d'action a plutôt comme objectif de se faire connaitre et de se faire embaucher par une boite. Par contre, s'il voulait être embauché par Apple, là c'est mort. ;-)
avatar oomu | 
heu… cette personne prend des risques dingues. "Pas forcement, il va surement se faire engager maintenant. C'est en quelques sorte une forme de CV pour Hacker!" avant ou après la prison ferme si Apple porte plainte OU si l'Etat fédéral lui même décide d'attaquer ?
avatar Eaglelouk | 
@Zouba : Le problème est pas là. Et merci de respecter un peu le travail de chacun... Y'a de failles partout, c'est bien connu, et il y en aura toujours tant que des personnes plus astucieuses et intelligentes que d'autres seront là. Le problème c'est le comportement du type: faire une vidéo YouTube, exposer une dizaine de noms/adresses mail, et finir par une phrase complètement immature.
avatar bugman | 
Je pense qu'il peut dire adieu à son compte dev, le Monsieur de balicbilisim.com.
avatar hadrien01 | 
Commentaires de fanboys... Vous auriez préféré qu'un pirate mal intentionné vole toutes les données sans qu'Apple s'en rende compte ? Il a mis le doigt sur un (même _des_) problème(s), en a informé Apple, et déclare maintenant ses bonnes intentions. Apple a juste à s'assurer qu'aucune information est conservée, ce qui ne devrait poser aucun problème. Et il faut quand même avouer que le site était codé avec les pieds. Du WebOjects par ci, des erreurs par là...
avatar serge@bcnbase.com | 
Il est Turc, et probablement, vis en Turquie... un peu trop loin de Cupertino que pour avoir de grosses emmerdes avec Apple. Du coté de Samsung ils ont du apprécier!!
avatar lmouillart | 
"Du coté de Samsung ils ont du apprécier!!" Oh Samsung prends encore moins au sérieux la sécurité et la correction des failles de sécurité qu'Apple.
avatar sopcaja | 
@rikki fine fleur T'es juste co* ou tu le fais exprès ??, vive l'intrusion et le cambriolage..c'est aux gens de veiller au maximum à ce que ça ne leur arrive jamais .. pfff pathétique @hadrien01 C'est ça que tu appelles prévenir ?? Prévenir Apple 4 h auparavant : avec un délai aussi minable, à moins de fermer les serveurs aucun DSI ne pourrait réagir à temps. Sa méthode aurait été légitime s'il avait prévenu Apple il y a 3 mois sans réponse mais là cela n'a rien d'académique comme cela lui plaît tant de le dire. C'est un gros coup de pub d'un c.. qui publie dans sa vidéo qqs adresses mails récupérées durant le process cela n'a rien de méthodique c'est du m'as-tu vue cela mérite un zéro pointé, il espère quoi une médaille? , Le vrai expert en sécurité ne publie la faille que lorsque le constructeur a un patch prêt à être déployé. Mais au moins il va faciliter le travail de la police en montrant comme un gros c** son visage au grand jour
avatar Dodi12 | 
Ce n'est pas la première fois que ce pirate fait parler de lui : http://www.youtube.com/watch?v=uKeOug7z_fM
avatar Almux | 
Contacter Apple (ou tout autre), de manière discrète mais volontaire: c'est pro. Se faire le buzz en fanfaronnant et en publiant des éléments confidentiels: c'est pathétique. Malheureusement pour ce "hacker chercheur en sécurité", il se présente comme un gars qui manque totalement de tact, de psychologie et de sens de la communication. En d'autres termes: Un type sûrement doué, en soi, mais totalement non-recommandable. Il s'est donc pathétiquement scié! PS En plus il montre qu'il utilise encore un PC sous windose... Là: il est mort!
avatar tomate | 
Ce gars est vraiment naif. Comme le dit Oomu, il prend des risques incroyables. S'il a réussi à hacker le site d'Apple c'est une chose, mais la façon dont il communique est digne d'un gros enfant. Pas sur qu'un employeur, même en sécurité, apprécie cette manière de faire...
avatar liocec | 
@Sébastien MICHOY : 'Le mot de passe dev' correspond à ton Apple ID. Tu peux donc le changer à partir d'iTunes.' Non, moi j'ai 2 mots de passe / mails différents, un pour iTunes, partagé avec la famille pour charger musique, vidéo, app, et un pour le boulot pour le boulot et les essais.
avatar Eaglelouk | 
Pour compléter un peu les 2 commentaires ci dessus, je rajouterai que je préfère de loin un mec qui se décide à exploiter une faille signalée depuis 3 mois qu'un mec qui l'exploite une heure après son signalement. Et en plus ça fanfaronne en vidéo...
avatar liocec | 
@redchou : 'an intruder attempted to secure personal information ' @mikélé : to secure = se procurer Ah, c'est nouveau ça ?!? Moi je traduits : Un intru a tenté d'obtenir des informations personnelles sécurisées.
avatar Rez2a | 
@liocec : Tu traduis mal, mikélé a raison, c'est bien dans le sens "obtenir" dans ce cas-là. Tu le dis toi-même en plus, "un intrus a tenté d'obtenir" = "an intruder attempted to secure". Rien n'indique que les informations étaient sécurisées.

Pages

CONNEXION UTILISATEUR