S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Apple a laissé un pirate s'emparer du compte iCloud d'un journaliste

Quand la sécurité compte pour d'iCloud

Le cloud au sens large est amené à jouer un rôle de plus en plus important dans la vie des utilisateurs. Graduellement, nous y plaçons une part grandissante de nos informations. Tandis que Steve Wozniak, co-fondateur d’Apple, exprimait récemment ses craintes à ce sujet, le piratage d’un journaliste de Wired rappelle combien la protection des comptes est primordiale.

 

Wozniak : la crainte du dérapage dans le cloud

Lors d’un événement dans un théâtre, Steve Wozniak a livré quelques bribes d’avis sur le cloud. Difficile en effet de rater ce dernier, à commencer par Apple elle-même. Les comptes iCloud jouent un rôle très important maintenant dans l’interconnexion des services. Avec iOS 6, cette prévalence grandira encore, en particulier chez ceux qui auront un Mac puisque de plus en plus d’applications se synchroniseront de manière transparente.

 

Mais tandis que grandit le pouvoir du cloud, Wozniak s’en inquiète : « Je suis vraiment inquiet que tout passe dans le nuage, je crois que ça va être épouvantable. Je pense qu'il va y avoir d’horribles problèmes dans les cinq prochaines années ». Ce qui le dérange en particulier, c’est la sensation que plus rien n’appartient vraiment à l’utilisateur : « Avec le nuage, rien ne vous appartient », avant d’ajouter : « Plus vous transférez tout vers le web, vers le nuage, moins vous avez de contrôle dessus » (propos rapportés par l'AFP).

 

En filigrane se dessine la notion de possession des données. Mais avant même ces réflexions, il existe un problème au potentiel très sérieux : la sécurité des données.

Un piratage qui vire à la vraie catastrophe

Si vous confiez une part importante de votre vie au cloud, la conséquence directe en cas de piratage est l’accès à toutes ces données, leur éventuel détournement ou encore leur suppression pure et simple. Avec à la clé de sérieuses difficultés dans la vie administrative, professionnelle et/ou personnelle. 

 

C’est précisément ce type d’incident qui s’est produit pour Mat Honan, journaliste au magazine Wired. Ce dernier utilise notamment un MacBook, un iPhone et un iPad. Bien entendu, pour profiter des échanges de données entre ces machines, il se sert d’iCloud. Et c’est ici que les ennuis commencent.

 

Le 3 août, à 16h50, quelqu’un accède à son compte iCloud avec le bon mot de passe. Ce dernier était composé de sept caractères alphanumériques qui n’étaient utilisés nulle part ailleurs. Sur l’instant, Honan imagine que le ou les pirates ont utilisé une action par force brute pour deviner son mot de passe.

 

Le reste est alors un véritable enchainement de galères :

  • 16h52, il reçoit sur adresse @mac.com (compte iCloud) un email de changement de mot de passe de son compte Gmail. Ce dernier présente le même préfixe et le compte iCloud est configuré comme email de secours.
  • À 17h00, l’iPhone voit ses données effacées via un ordre à distance
  • À 17h01, l’iPad subit le même sort
  • À 17h05, le MacBook Air passe lui aussi à la moulinette : tout appareil relié à iCloud peut activer des fonctionnalités pour être retrouvé (GPS) ou pour déclencher justement le blocage ou l’effacement des données.

À partir de là, il tente plusieurs manipulations, comme se connecter à son compte Gmail depuis l’ordinateur de sa femme, mais le mot de passe a bien entendu changé. Puis son compte Twitter est à son tour piraté. Il contacte alors le service client d’Apple par téléphone et n’est pas au bout de ses surprises.

Même plus besoin de pirater un mot de passe : il suffit de demander

Du côté de l’Apple Care en effet, tout semble en règle dans les actions effectuées. Mais un sérieux élément cloche : aucune des informations habituellement fournies pour identifier Mat Honan n’est reconnue. Ni son adresse, ni son numéro de téléphone ou encore son numéro de carte de crédit. Au bout d’environ 1h30 de conversation, il se rend compte que son nom de famille n’est pas prononcé correctement et s’aperçoit alors qu’il s’agit du compte de quelqu’un d’autre. Il n’était toutefois pas plus avancé dans la pratique et se voit fixer un rendez-vous le lendemain.

 

Il a depuis appris, tant par le pirate qui a pris contact avec lui que par Apple qui a confirmé l’information, que la force brute n’avait en aucun cas été utilisée pour que son mot de passe soit trouvé. La vérité est beaucoup plus gênante : le pirate a appelé l’Apple Care et a réussi à se faire passer pour lui. Passant les questions de sécurité posées, ils ont alors demandé une réinitialisation du mot de passe. Le reste a ensuite évolué très vite, comme une maille sur laquelle il suffirait de tirer pour défaire un tapis.

 

Depuis, Mat Honan a récupéré l’usage de son iPad et de son iPhone, ainsi que celui de son compte Gmail. Il a créé un nouveau compte Twitter pour exposer sa situation, et tout rentre progressivement dans l’ordre. Il indique toutefois avoir envoyé un email au PDG d’Apple, Tim Cook, et avoir reçu à peine dix minutes plus tard un appel de l’Apple Care : la firme était au courant de la situation. Selon Honan, Apple réfléchit au cas et quelles méthodes utiliser pour ne pas qu’il se reproduise.

 

La conclusion de cette série d’incidents est particulièrement simple : la protection des comptes est cruciale et elle le deviendra de plus en plus. Non seulement les mots de passe doivent être sélectionnés avec soin, mais il faut impérativement que les structures d’aide, comme l’Apple Care, adaptent leurs méthodes pour exiger des informations plus strictes avant de déclencher des actions dévastatrices.

Source : Mat Honan
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Le 7 août 2012 à 08:08 (26 410 lectures)

Il y a 94 commentaires

Avatar de darkbeast INpactien
darkbeast Le mardi 7 août 2012 à 09:11:45
Inscrit le lundi 5 mai 03 - 2203 commentaires
Meallia a écrit :


Euh non, le cloud ça existe depuis 20 ans (cf ici) c'est juste que des marketeux ont trouvé un nouveau nom et veulent en mettre de partout

le cloud est même bien plus vieux, ça s’appelait un terminal avant, c'est ce que sont en train de devenir les ordis (enfin selon la philosophie d'apple ).
Avatar de atomusk Modérateur
atomusk Le mardi 7 août 2012 à 09:12:19
Inscrit le mardi 20 juillet 04 - 19844 commentaires
et en plus comment compromettre un compte Amazon :

First you call Amazon and tell them you are the account holder, and want to add a credit card number to the account. All you need is the name on the account, an associated e-mail address, and the billing address. Amazon then allows you to input a new credit card. (Wired used a bogus credit card number from a website that generates fake card numbers that conform with the industry’s published self-check algorithm.) Then you hang up.

Next you call back, and tell Amazon that you’ve lost access to your account. Upon providing a name, billing address, and the new credit card number you gave the company on the prior call, Amazon will allow you to add a new e-mail address to the account.



Pour le coup, c'est vraiment Amazon qui a eut une GROSSE faille de sécurité
Avatar de Commentaire censuré INpactien
Commentaire censuré Le mardi 7 août 2012 à 09:14:06
Inscrit le jeudi 21 janvier 10 - 323 commentaires
matou13 a écrit :
@yoda222
Mon nom est déformé à chaque appel fait à un centre d'appel délocalisé ,je ne vois pas pourquoi ce serait différent avec apple .

Matthoutraise c'est pourtant facile à prononcer je ne comprends pas
Avatar de mimoza INpactienne
mimoza Le mardi 7 août 2012 à 09:30:25
Inscrite le mardi 9 mars 04 - 4022 commentaires
tchize a écrit :

comme simplement exiger une pièce d'identité? Je suis effaré aujourd'hui de voir à quel point peu de services (steam, google, apple, skype, facebook, flickr) fortements liés à l'identité acceptent des changement de mot de passe ou d'adresse email sans demander ce genre de chose. Et pourtant, plusieurs pays disposent d'un système de carte d'identité électronique qui pourrait être mis à profit! Un carte, un pin, un lecteur -> Bien plus dur de voler une adresse email

Tu veux pas fournir les radio de ta dernière coloscopie non plus
Même les états se l'interdise c'est pas pour qu'une entreprise privée le fasse (qui a dit JO)
Avatar de misterB INpactien
misterB Le mardi 7 août 2012 à 09:42:39
Inscrit le vendredi 22 octobre 04 - 133170 commentaires
earendil_fr a écrit :


Et comme pour ce genre de service, c'est assez couramment externalisé en Inde... Tu as du bon potentiel d'erreur de prononciation :-)

Quelqu'un sait si Apple aussi a envoyé son service « Apple Care » chez nos amis Indiens ?

Apple c'est pas délocalisé, Apple Care en Europe c'est une plateforme en Irland (Cork) avec des employés provenant de toute l'Europe

Aux US il y en a un à Sacramento par exemple
Avatar de misterB INpactien
misterB Le mardi 7 août 2012 à 09:43:40
Inscrit le vendredi 22 octobre 04 - 133170 commentaires
yukon_42 a écrit :
non mais de toute façon, tant que les gens ne seront pas éduqué un minimum, y'aura toujours des crétins pour croire que le cloud c'est trop de la bombe ( un peu comme apple ( Je peche misterB à la grenade ))

Oui le cloud c'est bien mais pas pour stocker des données persos et / ou importante.

Pour l'histoire d'une procédure @WereWindle, je vois mal les grands acteurs faire ce genre de chose ou alors de manière biaisé : ils ont tout intérêt à ce que nous devenons encire plus dépendant d'eux.


ps : @MisterB

C'est pas avec ça que tu y arriveras
Avatar de Tolor Modérateur
Tolor Le mardi 7 août 2012 à 09:47:41
Inscrit le mercredi 5 août 09 - 11254 commentaires
Zyami a écrit :


Voilà ce qui arrive quand on étale sa vie sur Faceplouc.

Étonnant quand même qu'une personne averti (c'est un des rédacteurs de Gizmodo aussi il me semble) en laisse autant deviner sur lui.

Rien ne dit qu'il ait répondu correctement aux questions de sécu. Il les a passé c'est tout
Avatar de patos INpactien
patos Le mardi 7 août 2012 à 09:48:25
Inscrit le mercredi 7 novembre 07 - 6738 commentaires
taralafifi a écrit :
C'est pour ça que j'utilise mon propre cloud, inventé et mis en place par moi-même

Tout pareil.
Mes données sont dans mon salon, même si y'a une synchro unidirectionnelle vers l'extérieur.
Avatar de misterB INpactien
misterB Le mardi 7 août 2012 à 09:50:05
Inscrit le vendredi 22 octobre 04 - 133170 commentaires
Tolor a écrit :

Rien ne dit qu'il ait répondu correctement aux questions de sécu. Il les a passé c'est tout

En même temps en suivant ses tweet ou FB il a peut être réussit à les deviner
Avatar de tAran INpactien
tAran Le mardi 7 août 2012 à 09:54:32
Inscrit le samedi 21 mai 05 - 2200 commentaires
Wozniak s’en inquiète : « Je suis vraiment inquiet que tout passe dans le nuage, je crois que ça va être épouvantable. Je pense qu'il va y avoir d’horribles problèmes dans les cinq prochaines années ». Ce qui le dérange en particulier, c’est la sensation que plus rien n’appartient vraiment à l’utilisateur : « Avec le nuage, rien ne vous appartient », avant d’ajouter : « Plus vous transférez tout vers le web, vers le nuage, moins vous avez de contrôle dessus » (propos rapportés par l'AFP).


Ah bon.. parceque la synchronisation made in Apple c'est mieux peut être ?

Rien ne vaut un bon vieux glisser-déposer, au moins on sait ce qu'on fait

Edité par taran le mardi 7 août 2012 à 09:55
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.