Apple et le FBI enquêtent activement sur le piratage d'iCloud
Qui aurait entraîné la publication des photos nues des célébrités
Le 2014-09-02 14:22:42, par Hinault Romaric, Responsable .NET
Le weekend dernier, le Web s’est vu inondé de photos privées d’une centaine de stars nues, dont Jennifer Lawrence, Rihanna, Kate Upton, Kate Bosworth, Selena Gomez et Kim Kardashian.
Les images auraient été récupérées par des pirates suite à l’exploitation d’une faille sur iCloud, la plateforme d’hébergement Cloud d’Apple, ayant permis d’accéder aux comptes de ces célébrités.
Selon certains experts, un script Python (baptisé iBrute) serait apparu sur GitHub, et aurait été utilisé par les pirates pour effectuer des attaques par force brute sur les comptes iCloud des personnes affectées, grâce à une faille de sécurité dans l’application Find My iPhone, qui n’est pas protégée contre les attaques par force brute.
Selon Hackappcom, le développeur à l’origine d’iBrute, l’application aurait été publiée un jour avant l’incident, ce qui rend peu probable son utilisation en seulement une journée pour perpétrer de telles attaques ciblées. Cependant, il note que quelqu’un de malveillant aurait bien pu trouver le bogue avant et l’exploiter.
Il profite de l’occasion pour fustiger les célébrités dont les comptes ont été piratés, car si cela a été possible grâce à l’utilisation de cette faille, ça signifie que ces personnes utilisaient des mots de passe trop simples. « Ce n’est pas votre faute si vous utilisez de mauvais mots de passe, parce que vous êtes des célébrités et non des nerds », remarque Hackappcom, avant de rappeler à ces stars de faire attention aux informations qu’elles sauvegardent sur des plateformes Cloud.
Apple aurait déjà corrigé cette faille, car désormais, après cinq tentatives d’une attaque avec iBrute, Apple procède à un verrouillage du compte en question.
Toutefois, d’autres allégations font état du fait que les photos seraient issues de différents appareils. Elles auraient donc été subtilisées dans des listes d’images collectées au fil du temps par d’autres pirates.
Cette nouvelle affaire de violation de vie privée, qui a été baptisée aux États-Unis le « Leakgate » ou « Celebgate », agace Apple qui est accusé de n’avoir pas su protéger ses utilisateurs. Un porte-parole de la firme a déclaré qu’une enquête avait été ouverte. « Nous prenons la vie privée de l'utilisateur très au sérieux et enquêtons activement sur cet événement », a déclaré la firme dans un communiqué. Au vu de la gravité de l’affaire, le FBI aurait commencé à mener des investigations suite à une plainte qui a été déposée par ces célébrités.
Sources : re/code, message de Hackappcom
Et vous ?
La faute à qui ? A Apple pour la sécurité de sa plateforme ou aux stars qui ont hébergé de telles données sur le Cloud ?
Les images auraient été récupérées par des pirates suite à l’exploitation d’une faille sur iCloud, la plateforme d’hébergement Cloud d’Apple, ayant permis d’accéder aux comptes de ces célébrités.
Selon certains experts, un script Python (baptisé iBrute) serait apparu sur GitHub, et aurait été utilisé par les pirates pour effectuer des attaques par force brute sur les comptes iCloud des personnes affectées, grâce à une faille de sécurité dans l’application Find My iPhone, qui n’est pas protégée contre les attaques par force brute.
Selon Hackappcom, le développeur à l’origine d’iBrute, l’application aurait été publiée un jour avant l’incident, ce qui rend peu probable son utilisation en seulement une journée pour perpétrer de telles attaques ciblées. Cependant, il note que quelqu’un de malveillant aurait bien pu trouver le bogue avant et l’exploiter.
Il profite de l’occasion pour fustiger les célébrités dont les comptes ont été piratés, car si cela a été possible grâce à l’utilisation de cette faille, ça signifie que ces personnes utilisaient des mots de passe trop simples. « Ce n’est pas votre faute si vous utilisez de mauvais mots de passe, parce que vous êtes des célébrités et non des nerds », remarque Hackappcom, avant de rappeler à ces stars de faire attention aux informations qu’elles sauvegardent sur des plateformes Cloud.
Apple aurait déjà corrigé cette faille, car désormais, après cinq tentatives d’une attaque avec iBrute, Apple procède à un verrouillage du compte en question.
Toutefois, d’autres allégations font état du fait que les photos seraient issues de différents appareils. Elles auraient donc été subtilisées dans des listes d’images collectées au fil du temps par d’autres pirates.
Cette nouvelle affaire de violation de vie privée, qui a été baptisée aux États-Unis le « Leakgate » ou « Celebgate », agace Apple qui est accusé de n’avoir pas su protéger ses utilisateurs. Un porte-parole de la firme a déclaré qu’une enquête avait été ouverte. « Nous prenons la vie privée de l'utilisateur très au sérieux et enquêtons activement sur cet événement », a déclaré la firme dans un communiqué. Au vu de la gravité de l’affaire, le FBI aurait commencé à mener des investigations suite à une plainte qui a été déposée par ces célébrités.
Sources : re/code, message de Hackappcom
Et vous ?
-
I_PnoseMembre chevronnéle 02/09/2014 à 14:46
-
SaverokExpert éminentMalheureusement, la très grande majorité des gens sont dans ce cas
C'est dingue le nombre de personne qui s'imagine que FB est un espace privé confidentiel alors le cloud, n'en parlons même pas...
Je n'ai pas de compte Apple mais ça me surprends qu'il n'y est pas de contrôle de la solidité des mdp...
Quelqu'un peut le confirmer ?
Si c'est bien le cas, c'est une faute grave de la part d'Apple qui a un devoir de conseil auprès de ses clients et se doit de les sensibiliser à ce type de problématique
L'éducation est l'affaire de tousle 02/09/2014 à 15:22 -
AiekickMembre extrêmement actifquand tu vois le nombre de sites qui demandent un pass entre 6 et 8 caractere alphanumerique et qui de surcroit te le renvoi par mail pour confirmer ton inscription, on se demande si c'est pas fait expres et qu'ils revendent la base de donnée de compte mail et mot de passe sur le marché... pour alimenter les dicos de forces brute.le 02/09/2014 à 17:13
-
ThornaMembre éprouvéUn truc m'énerve particulièrement dans cette histoire : de nombreuses personnes disent (ou pensent, comme moi) depuis longtemps que le cloud est une sorte de passoire plus ou moins hermétique qu'on nous recommande sans arrêt et pour tout, et pourtant toutes les affaires qu'on a connues dans les dernières années (tiens, les 0.7 pourcents de données perdues par Amazon par exemple...) n'ont pas modifié le comportement des clients et des fournisseurs, ils continuent a y mettre tout et n'importe quoi. Et voila que quelques célébrités sont a leur tour prises au piège, et c'est soudain une «prise de conscience» mondiale, un scandale, etc. Bienvenues dans le monde des gens normaux !le 03/09/2014 à 0:53
-
kipkipMembre régulier"des pirates ont eu accès à des données mais il n y a pas de faille de notre coté"
ça a le don de m'irriter ce genre de réponse...
ça arrive à tout le monde de faire des erreurs mais il ne faut pas prendre ses propres clients pour des jambons...
A priori un brute force ne devrait plus fonctionner depuis quelques années!
Même sur nos autoradio avec des systèmes à deux balles gèrent le retry : si bien qu'au bout de 5 tentatives il faut attendre 10 min pour la suivante!
L'excuse du mot de passe faible ne tient pas boudiou! Combien de petits sites calculent la complexité des mot de passe et les bloquent si ils sont trop triviaux?
C'est honteux pour Apple, ils ont m.rdé, ils devraient le dire et apprendre de leurs erreurs...
Là j'ai un doute qu'ils aient compris le problème.le 03/09/2014 à 14:17 -
ThornaMembre éprouvéEt donc, en gros, ce qu'Apple dit, c'est :
- le cloud est sûr mais la, on a été attaqués par quelqu'un qui s'est donné du mal, c'est normal qu'il y soit arrivé !
Y'a que moi que ca choque ?le 03/09/2014 à 14:51 -
I_PnoseMembre chevronnéJe suis peut-être naïf mais je pensais que ne pas mettre de "données sensibles" sur les solutions cloud grand public était davantage une question de bon sens qu’un réflexe de geek paranoïaque.
Bon après, niveau nudité, ça doit pas être pire que ce qu’elles postent sur tweeter hein(oui, je sais c’est mal). le 02/09/2014 à 14:33 -
EtanneMembre éclairéPendant ce temps là une partie des internautes qui défendaient il y a quelques mois la protection de leur vie privée (NSA & les clouds) téléchargent et s'échangent ces photos privées...le 02/09/2014 à 15:19
-
SquisquiEn attente de confirmation mailDes méchants pirates ont forcé Apple a colmater une faille. Le FBI/NSA doivent l'avoir bien profond, c'est une porte en moins à exploiter.le 02/09/2014 à 16:05
-
miky55Membre avertiPerso je pense que 40 minutes sont largement suffisantes pour déterminer s'il y a eu bruteforce ou social engineering pour Apple... par contre en 40 heures on peut patcher la faille, supprimer les logs de tentatives de bruteforce , fabriquer des fausse traces de social engineering en créant de fausses tentatives de devinettes des questions de sécurité.. Comme ça on est paré pour contrer les avocats des starlettes dont l'intimité vient d’être violée...
Imposer la double authentification sur "find my iphone"??? le 03/09/2014 à 17:48