Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Apple et le FBI enquêtent activement sur le piratage d'iCloud
Qui aurait entraîné la publication des photos nues des célébrités

Le , par Hinault Romaric

0PARTAGES

3  0 
Le weekend dernier, le Web s’est vu inondé de photos privées d’une centaine de stars nues, dont Jennifer Lawrence, Rihanna, Kate Upton, Kate Bosworth, Selena Gomez et Kim Kardashian.

Les images auraient été récupérées par des pirates suite à l’exploitation d’une faille sur iCloud, la plateforme d’hébergement Cloud d’Apple, ayant permis d’accéder aux comptes de ces célébrités.

Selon certains experts, un script Python (baptisé iBrute) serait apparu sur GitHub, et aurait été utilisé par les pirates pour effectuer des attaques par force brute sur les comptes iCloud des personnes affectées, grâce à une faille de sécurité dans l’application Find My iPhone, qui n’est pas protégée contre les attaques par force brute.

Selon Hackappcom, le développeur à l’origine d’iBrute, l’application aurait été publiée un jour avant l’incident, ce qui rend peu probable son utilisation en seulement une journée pour perpétrer de telles attaques ciblées. Cependant, il note que quelqu’un de malveillant aurait bien pu trouver le bogue avant et l’exploiter.

Il profite de l’occasion pour fustiger les célébrités dont les comptes ont été piratés, car si cela a été possible grâce à l’utilisation de cette faille, ça signifie que ces personnes utilisaient des mots de passe trop simples. « Ce n’est pas votre faute si vous utilisez de mauvais mots de passe, parce que vous êtes des célébrités et non des nerds », remarque Hackappcom, avant de rappeler à ces stars de faire attention aux informations qu’elles sauvegardent sur des plateformes Cloud.

Apple aurait déjà corrigé cette faille, car désormais, après cinq tentatives d’une attaque avec iBrute, Apple procède à un verrouillage du compte en question.

Toutefois, d’autres allégations font état du fait que les photos seraient issues de différents appareils. Elles auraient donc été subtilisées dans des listes d’images collectées au fil du temps par d’autres pirates.

Cette nouvelle affaire de violation de vie privée, qui a été baptisée aux États-Unis le « Leakgate » ou « Celebgate », agace Apple qui est accusé de n’avoir pas su protéger ses utilisateurs. Un porte-parole de la firme a déclaré qu’une enquête avait été ouverte. « Nous prenons la vie privée de l'utilisateur très au sérieux et enquêtons activement sur cet événement », a déclaré la firme dans un communiqué. Au vu de la gravité de l’affaire, le FBI aurait commencé à mener des investigations suite à une plainte qui a été déposée par ces célébrités.

Sources : re/code, message de Hackappcom

Et vous ?

La faute à qui ? A Apple pour la sécurité de sa plateforme ou aux stars qui ont hébergé de telles données sur le Cloud ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de I_Pnose
Membre chevronné https://www.developpez.com
Le 02/09/2014 à 14:46
20  0 
Avatar de Saverok
Expert éminent https://www.developpez.com
Le 02/09/2014 à 15:22
Citation Envoyé par zeecrowddev Voir le message
Je ne suis pas sur que ces célébrités ont conscience que leurs photos prisent avec leur téléphone n'étaient pas seulement sur leur téléphone mais aussi sur le cloud ...

Bref la non maîtrise de ses données ...
Malheureusement, la très grande majorité des gens sont dans ce cas
C'est dingue le nombre de personne qui s'imagine que FB est un espace privé confidentiel alors le cloud, n'en parlons même pas...

Je n'ai pas de compte Apple mais ça me surprends qu'il n'y est pas de contrôle de la solidité des mdp...
Quelqu'un peut le confirmer ?

Si c'est bien le cas, c'est une faute grave de la part d'Apple qui a un devoir de conseil auprès de ses clients et se doit de les sensibiliser à ce type de problématique
L'éducation est l'affaire de tous
8  0 
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 02/09/2014 à 17:13
Citation Envoyé par Karshick Voir le message
Le problème avec la notion de sécurité des mots de passe, c'est qu'elle est pensée pour des cerveaux humains.
Un humain ira moins souvent tester des mots de passes du style #~dzlkj564'@ alors que pour un logiciel, ça ne change quasiment rien (ils sont pensés pour tester tous les caractères de toute façon, donc que vous ne mettiez que des minuscules ou pas, au final c'est une question de secondes).
Il est souvent préférable d'utiliser une loooongue série de caractères (15 ou 20).

Pourquoi ? Regardez juste avec les minuscules (a-z donc), avec 1 caractère tu as 26 possibilités, avec 2 tu en as 676, avec 3 tu en as 17 576... Imaginez avec 20 maintenant. Ensuite, si vous rajoutez tous les symboles possibles, il faudra plusieurs décennies à un BruteForce pour cracker votre mot de passe.
quand tu vois le nombre de sites qui demandent un pass entre 6 et 8 caractere alphanumerique et qui de surcroit te le renvoi par mail pour confirmer ton inscription, on se demande si c'est pas fait expres et qu'ils revendent la base de donnée de compte mail et mot de passe sur le marché... pour alimenter les dicos de forces brute.
8  0 
Avatar de Thorna
Membre éprouvé https://www.developpez.com
Le 03/09/2014 à 0:53
Un truc m'énerve particulièrement dans cette histoire : de nombreuses personnes disent (ou pensent, comme moi) depuis longtemps que le cloud est une sorte de passoire plus ou moins hermétique qu'on nous recommande sans arrêt et pour tout, et pourtant toutes les affaires qu'on a connues dans les dernières années (tiens, les 0.7 pourcents de données perdues par Amazon par exemple...) n'ont pas modifié le comportement des clients et des fournisseurs, ils continuent a y mettre tout et n'importe quoi. Et voila que quelques célébrités sont a leur tour prises au piège, et c'est soudain une «prise de conscience» mondiale, un scandale, etc. Bienvenues dans le monde des gens normaux !
8  0 
Avatar de kipkip
Membre régulier https://www.developpez.com
Le 03/09/2014 à 14:17
"des pirates ont eu accès à des données mais il n y a pas de faille de notre coté"
ça a le don de m'irriter ce genre de réponse...

ça arrive à tout le monde de faire des erreurs mais il ne faut pas prendre ses propres clients pour des jambons...

A priori un brute force ne devrait plus fonctionner depuis quelques années!
Même sur nos autoradio avec des systèmes à deux balles gèrent le retry : si bien qu'au bout de 5 tentatives il faut attendre 10 min pour la suivante!

L'excuse du mot de passe faible ne tient pas boudiou! Combien de petits sites calculent la complexité des mot de passe et les bloquent si ils sont trop triviaux?
C'est honteux pour Apple, ils ont m.rdé, ils devraient le dire et apprendre de leurs erreurs...

Là j'ai un doute qu'ils aient compris le problème.
8  0 
Avatar de Thorna
Membre éprouvé https://www.developpez.com
Le 03/09/2014 à 14:51
Et donc, en gros, ce qu'Apple dit, c'est :
- le cloud est sûr mais la, on a été attaqués par quelqu'un qui s'est donné du mal, c'est normal qu'il y soit arrivé !
Y'a que moi que ca choque ?
8  0 
Avatar de Etanne
Membre éclairé https://www.developpez.com
Le 02/09/2014 à 15:19
Pendant ce temps là une partie des internautes qui défendaient il y a quelques mois la protection de leur vie privée (NSA & les clouds) téléchargent et s'échangent ces photos privées...
7  0 
Avatar de I_Pnose
Membre chevronné https://www.developpez.com
Le 02/09/2014 à 14:33
Je suis peut-être naïf mais je pensais que ne pas mettre de "données sensibles" sur les solutions cloud grand public était davantage une question de bon sens qu’un réflexe de geek paranoïaque.

Bon après, niveau nudité, ça doit pas être pire que ce qu’elles postent sur tweeter hein (oui, je sais c’est mal).
6  0 
Avatar de Squisqui
En attente de confirmation mail https://www.developpez.com
Le 02/09/2014 à 16:05
Des méchants pirates ont forcé Apple a colmater une faille. Le FBI/NSA doivent l'avoir bien profond, c'est une porte en moins à exploiter.
6  0 
Avatar de miky55
Membre averti https://www.developpez.com
Le 03/09/2014 à 17:48
Citation Envoyé par Saverok Voir le message
C'est une blague ???
Les gens sont assez bêtes pour se satisfaire de 40h d'investigation ????
Perso je pense que 40 minutes sont largement suffisantes pour déterminer s'il y a eu bruteforce ou social engineering pour Apple... par contre en 40 heures on peut patcher la faille, supprimer les logs de tentatives de bruteforce , fabriquer des fausse traces de social engineering en créant de fausses tentatives de devinettes des questions de sécurité.. Comme ça on est paré pour contrer les avocats des starlettes dont l'intimité vient d’être violée...

Citation Envoyé par Saverok Voir le message
Alors pourquoi ne pas imposer la double authentification dans ce cas ???
Imposer la double authentification sur "find my iphone" ???
7  1 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web