Apple a laissé un pirate s'emparer du compte iCloud d'un journaliste

Le cloud au sens large est amené à jouer un rôle de plus en plus important dans la vie des utilisateurs. Graduellement, nous y plaçons une part grandissante de nos informations. Tandis que Steve Wozniak, co-fondateur d’Apple, exprimait récemment ses craintes à ce sujet, le piratage d’un journaliste de Wired rappelle combien la protection des comptes est primordiale.

Wozniak : la crainte du dérapage dans le cloud

Lors d’un événement dans un théâtre, Steve Wozniak a livré quelques bribes d’avis sur le cloud. Difficile en effet de rater ce dernier, à commencer par Apple elle-même. Les comptes iCloud jouent un rôle très important maintenant dans l’interconnexion des services. Avec iOS 6, cette prévalence grandira encore, en particulier chez ceux qui auront un Mac puisque de plus en plus d’applications se synchroniseront de manière transparente.

Mais tandis que grandit le pouvoir du cloud, Wozniak s’en inquiète : « Je suis vraiment inquiet que tout passe dans le nuage, je crois que ça va être épouvantable. Je pense qu'il va y avoir d’horribles problèmes dans les cinq prochaines années ». Ce qui le dérange en particulier, c’est la sensation que plus rien n’appartient vraiment à l’utilisateur : « Avec le nuage, rien ne vous appartient », avant d’ajouter : « Plus vous transférez tout vers le web, vers le nuage, moins vous avez de contrôle dessus » (propos rapportés par l'AFP).

En filigrane se dessine la notion de possession des données. Mais avant même ces réflexions, il existe un problème au potentiel très sérieux : la sécurité des données.

Un piratage qui vire à la vraie catastrophe

Si vous confiez une part importante de votre vie au cloud, la conséquence directe en cas de piratage est l’accès à toutes ces données, leur éventuel détournement ou encore leur suppression pure et simple. Avec à la clé de sérieuses difficultés dans la vie administrative, professionnelle et/ou personnelle. 

C’est précisément ce type d’incident qui s’est produit pour Mat Honan, journaliste au magazine Wired. Ce dernier utilise notamment un MacBook, un iPhone et un iPad. Bien entendu, pour profiter des échanges de données entre ces machines, il se sert d’iCloud. Et c’est ici que les ennuis commencent.

Le 3 août, à 16h50, quelqu’un accède à son compte iCloud avec le bon mot de passe. Ce dernier était composé de sept caractères alphanumériques qui n’étaient utilisés nulle part ailleurs. Sur l’instant, Honan imagine que le ou les pirates ont utilisé une action par force brute pour deviner son mot de passe.

Le reste est alors un véritable enchainement de galères :

• 16h52, il reçoit sur adresse @mac.com (compte iCloud) un email de changement de mot de passe de son compte Gmail. Ce dernier présente le même préfixe et le compte iCloud est configuré comme email de secours.
• À 17h00, l’iPhone voit ses données effacées via un ordre à distance
• À 17h01, l’iPad subit le même sort
• À 17h05, le MacBook Air passe lui aussi à la moulinette : tout appareil relié à iCloud peut activer des fonctionnalités pour être retrouvé (GPS) ou pour déclencher justement le blocage ou l’effacement des données.

À partir de là, il tente plusieurs manipulations, comme se connecter à son compte Gmail depuis l’ordinateur de sa femme, mais le mot de passe a bien entendu changé. Puis son compte Twitter est à son tour piraté. Il contacte alors le service client d’Apple par téléphone et n’est pas au bout de ses surprises.

Même plus besoin de pirater un mot de passe : il suffit de demander

Du côté de l’Apple Care en effet, tout semble en règle dans les actions effectuées. Mais un sérieux élément cloche : aucune des informations habituellement fournies pour identifier Mat Honan n’est reconnue. Ni son adresse, ni son numéro de téléphone ou encore son numéro de carte de crédit. Au bout d’environ 1h30 de conversation, il se rend compte que son nom de famille n’est pas prononcé correctement et s’aperçoit alors qu’il s’agit du compte de quelqu’un d’autre. Il n’était toutefois pas plus avancé dans la pratique et se voit fixer un rendez-vous le lendemain.

Il a depuis appris, tant par le pirate qui a pris contact avec lui que par Apple qui a confirmé l’information, que la force brute n’avait en aucun cas été utilisée pour que son mot de passe soit trouvé. La vérité est beaucoup plus gênante : le pirate a appelé l’Apple Care et a réussi à se faire passer pour lui. Passant les questions de sécurité posées, ils ont alors demandé une réinitialisation du mot de passe. Le reste a ensuite évolué très vite, comme une maille sur laquelle il suffirait de tirer pour défaire un tapis.

Depuis, Mat Honan a récupéré l’usage de son iPad et de son iPhone, ainsi que celui de son compte Gmail. Il a créé un nouveau compte Twitter pour exposer sa situation, et tout rentre progressivement dans l’ordre. Il indique toutefois avoir envoyé un email au PDG d’Apple, Tim Cook, et avoir reçu à peine dix minutes plus tard un appel de l’Apple Care : la firme était au courant de la situation. Selon Honan, Apple réfléchit au cas et quelles méthodes utiliser pour ne pas qu’il se reproduise.

La conclusion de cette série d’incidents est particulièrement simple : la protection des comptes est cruciale et elle le deviendra de plus en plus. Non seulement les mots de passe doivent être sélectionnés avec soin, mais il faut impérativement que les structures d’aide, comme l’Apple Care, adaptent leurs méthodes pour exiger des informations plus strictes avant de déclencher des actions dévastatrices.