Le site développeurs d'Apple victime d'une intrusion revendiquée par son auteur

Florian Innocente |


Le site développeurs d'Apple a fait l'objet d'une tentative d'intrusion jeudi dernier. C'est pour cette raison qu'il a été fermé en fin de semaine et qu'il est toujours inaccessible, aujourd'hui encore.

Après avoir évoqué une maintenance plus longue que prévu, Apple explique le fond de l'affaire sur la page d'accueil. Elle n'exclut pas que des noms et/ou des adresses électroniques de ses développeurs enregistrés puissent avoir été obtenus, mais les informations personnelles de nature sensible sont chiffrées.

Le système de ce portail développeurs est donc en pleine restructuration. Apple a ensuite déclaré à nouveau auprès de Macworld que le serveur auquel cet intrus avait eu accès n'était associé à aucune donnée personnelle des clients iTunes, lesquelles sont également chiffrées. Pas d'accès possible non plus aux apps stockées où aux serveurs sur lesquels les informations de ces apps sont enregistrées.

Dans une vidéo postée sur YouTube, Ibrahim Balic (Linkedin), le spécialiste en sécurité qui revendique cette intrusion, explique avoir signifié à Apple sa faille de sécurité quelques heures avant que le site ne soit fermé.

Il montre dans son clip qu'il a pu accéder à des identifiants et adresses électroniques (100 000 entrées selon lui). Mais aucune autre information, a-t-il confirmé dans un mail à 9to5mac. Il affirme avoir réalisé cette opération à des fins de recherche en sécurité, et il compte supprimer les données obtenues.



[MàJ à 9h] : Dans l'email publié par The Next Web, Ibrahim Balic raconte avoir relevé 13 bugs sur le site d'Apple, et tous ont été soumis à l'intéressée via la page dédiée aux développeurs.

Il a extrait et présenté les détails de 73 comptes pour appuyer sa démonstration auprès d'Apple. 4 heures après ce signalement, Apple a fermé l'accès au site développeurs. Il a demandé à Apple par mail si cette dernière souhaitait qu'il interrompe ses recherche pour ne pas la mettre en difficulté, mais sans réponse à ce jour.

Devant la description faite parfois de cette intrusion, il insiste sur son côté purement académique, sans motivation de nuire ou de collecter des information à des fins illégales.

« In some of the media news I watch/read that whether legal authorities were involved in its investigation of the hack. I’m not feeling very happy with what I read and a bit irritated, as I did not done this research to harm or damage. I didn’t attempt to publish or have not shared this situation with anybody else. My aim was to report bugs and collect the datas for the porpoise of seeing how deep I can go within this scope. I have over 100.000+ users details and Apple is informed about this. I didn’t attempt to get the datas first and report then, instead I have reported first.

I do not want my name to be in blacklist, please search on this situation. I’m keeping all the evidences, emails and images also I have the records of bugs that I made through Apple bug-report. »


avatar Danielroibert | 
@Eaglelouk Bonjour, contrairement à ce que tu semble croire, il y a des gens bien, honnêtes, respectueux, qui ont un idéale sur cette terre. À te lire, tu ne fait visiblement pas partie de cette catégorie.
avatar Danielroibert | 
Oui, bon il faut bien reconnaître que la méthode de ce hacker est bizarre, mais les articles de journalistes n'offre pas assez d'assurance pour se permettre d'être insultant. On peux et on doit se poser des questions, mais pas plus, si on ne se base que sur ce que des "journalistes" rapportent.
avatar Anonyme (non vérifié) | 
@rikki finefleur ", moi j'ai engueulé mon garagiste de gros connard, lorsqu'il m'a appris que mes durites de frein étaient en train de se cisailler.." C'est pas vraiment ça, mais l'idée de départ est bonne. Donc ton garagiste il force l'entrée de ton concessionnaire , ensuite il force les serrures des voitures à l'intérieur et regarde sous tous les capots toutes les durites .. Tu saisies la différence ? Tu vas approuver à 100% ton garagiste ?
avatar iapx | 
Des failles partout, 13 trouvées, ce n'est pas bien rassurant pour Apple, mais le site Dev est archaïque comme nombre d'entre nous l'ont indiqué. La décision de fermer l'accès complètement, pour faire une analyse complète de l'attaque, corriger les problèmes, c'était une décision difficile mais la bonne décision. Je conseille d'être prêt à couper les serveurs ou les isoler d'Internet en cas d'attaque sérieuse!
avatar MA8306 | 
En OTA on aura la beta 4 vous pensez ? C'est dépendant des liens
avatar MA8306 | 
du site pour développeur ?
avatar oomu | 
Attention, nul jugement du hacker de ma part. Si ce n'est le rappel que les entreprises habituellement portent plaintes, qu'aux usa les condamnations sont lourdes (ça monte vite en année de prison), et que parfois l'Etat est carrément pro-actif (il attaque en son nom), et que selon les USA, la Turquie c'est pas si loin... Bref, même armé des meilleures intentions du monde, c'est plus que risqué comme attitude. Dans mon message, je m'inquiétais plutôt pour lui. - je n'oublierai jamais l'histoire de Serge Humpich qui avait prévenu, engagé un avocat, a fait la démonstration de la faille des cartes bleus en direct devant journaliste, a montré qu'il ne faisait pas ça pour gagner de l'argent (la cour l'admettra d'ailleurs) donc et qui s'est fait attaquer par les banques (par le groupement interbancaire). http://fr.wikipedia.org/wiki/Serge_Humpich alors ça va hein depuis, mais garde à vue, perqui, 10 mois de prisons (avec sursis, on était pas des monstres) etc, c'est cher payé quand on pense aider ou à la rigueur prouver sa compétence pour un boulot. lisez ceci: http://www.legalis.net/spip.php?page=jurisprudence-decision&id_article=1200 ce qui est condamné est la RECHERCHE de failles, PAS l'intrusion elle même ou l'exploitation. Le simple fait de déjà chercher est un crime. Depuis, les lois ont été renforcées et les USA ont des lois bien plus dures que les notre (elles couvrent d'avantage de scénario et ont des peines plus lourdes). Bref heu non même convaincu de sauver le monde d'un système informatique qui va être utilisé secrètement par des Crypto-Nazis, je ne ferais pas ça. Ou alors en acceptant (longue méditation) le prix à payer.
avatar thierry37 | 
@sopcaja "C'est ça que tu appelles prévenir ?? Prévenir Apple 4 h auparavant : avec un délai aussi minable, à moins de fermer les serveurs aucun DSI ne pourrait réagir à temps. " Si je relis l'article, je comprends que le gars a fait son petit boulot (pour avoir ses preuves) Puis il a averti Apple avec quelques comptes (les preuves) et Apple a mis 4h avant de décider de fermer leurs serveurs. Je rejoins l'avis d'oomu : le mec a vraiment pas peur. Ou alors il a pas bien réfléchi. On va vite voir si c'est payant. (dans un sens ou dans l'autre, d'ailleurs) hé hé
avatar thierry37 | 
serge@bcnbase.com "Il est Turc, et probablement, vis en Turquie... un peu trop loin de Cupertino que pour avoir de grosses emmerdes avec Apple." D'après l'article de The Next Web, lié dans l'article, il semble que le gars est "UK based". Donc pas en Turquie.
avatar Popal | 
Ca empêche de bosser cette histoire :-/
avatar XiliX | 
"Rez2a [22/07/2013 13:55] via MacG Mobile @liocec : Tu traduis mal, mikélé a raison, c'est bien dans le sens "obtenir" dans ce cas-là. Tu le dis toi-même en plus, "un intrus a tenté d'obtenir" = "an intruder attempted to secure". Rien n'indique que les informations étaient sécurisées." Si... si... en fait voilà comment il faut lire le communiqué... "an introdure attempted to " + "secure personal informations of our registered developer". Et c'est bien "secure" et non pas "secured". Il ne faut surtout pas lire "an introdure attempted to secure"... là effectivement ça n'a absolument rien à voir...
avatar oomu | 
"D'après l'article de The Next Web, lié dans l'article, il semble que le gars est "UK based". Donc pas en Turquie." si y a plainte des USA, il est cuit. Le royaume-unis ne faisant aucun obstacle pour des poursuites par les usa.
avatar thomasi | 
Une beta 4 ce soir ou pas?
avatar rikki finefleur | 
sopcaja toi tu ferais de relire les conditions pour poster : Il est interdit d'insulter les autres et d'etre vulgaire. sans commentaire, toi et tes insultes . pour revenir au sujet, je note que dans un premier temps, apple n'a pas prévenu ses utilisateurs que son site avait été hacké. Et pour les autres. C'est vrai que ce type est idiot, au lieu de prévenir apple, il aurait du revendre les mails et autres a des pirates ou autres spammeurs. Jamais compris pourquoi une société a qui on prévient des failles sur son site, poursuit en plus celui qui a découvert les failles et l'en a informé. Vaut mieux revendre ses infos finalement et laisser l'entreprise dans la m.. avec ses failles.
avatar bugman | 
@ rikki finefleur : Comme le disait Almux tout à l'heure, c'est surtout pour sa petite pub qu'il a fait son hack. sans aucune retenue concernant le fait de mettre à disposition quelques données personnelles. Si quelqu'un devrait déposer plainte, j'espère que les propriétaires de ces adresses s'en chargeront. Ensuite c'est un peu comme si j'entrais chez toi par effraction pour mieux te vendre mes belles serrures. Je ne sais pas si (même si je ne repartais qu'avec quelques photocopies de tes papiers personnels) tu le prendrais avec la même légèreté.
avatar rikki finefleur | 
bugman La différence, c'est qu'il t'informe des failles , là ou d'autres ne t'informeront pas. Lequel tu choisis ?
avatar bugman | 
@ rikki finefleur : Pourquoi vouloir m'imposer un choix (à choisir je préférerais que l'on foute mes serveurs en paix) ? Sinon, oui, je préférerais en être informé (si possible discrètement et surtout sans mettre les données de mes clients sur le net).
avatar rikki finefleur | 
bugman Bien d’accord. Mais ca nous permet aussi une petite piqure de rappel et d’être vigilant sur nos données du net :( , qui sont vraiment très mal sécurisées. Si même les plus grands se font piratés qu'en est il des plus petits ? Ca craint.
avatar 1uo | 
On peut aussi voir la vidéo comme un moyen de faire réagir apple plus rapidemment Rendre public les failles de sécurité, et prouver visuellement qu'elles sont là et facile à exploiter, ça à de quoi énerver tous les dev inscrit, ce qui peux pousser apple à réagir. De plus c'est aussi un moyen de prouver ça bonne foi. Je n'ai pas vérifié quand la vidéo a été postée cela dit. Et ça ne lui enlève pas sa bétise

Pages

CONNEXION UTILISATEUR