S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : L'abonnement à Next INpact dès 17 € par an : il vous reste moins de 24h

Apple a laissé un pirate s'emparer du compte iCloud d'un journaliste

Quand la sécurité compte pour d'iCloud

Le cloud au sens large est amené à jouer un rôle de plus en plus important dans la vie des utilisateurs. Graduellement, nous y plaçons une part grandissante de nos informations. Tandis que Steve Wozniak, co-fondateur d’Apple, exprimait récemment ses craintes à ce sujet, le piratage d’un journaliste de Wired rappelle combien la protection des comptes est primordiale.

 

Wozniak : la crainte du dérapage dans le cloud

Lors d’un événement dans un théâtre, Steve Wozniak a livré quelques bribes d’avis sur le cloud. Difficile en effet de rater ce dernier, à commencer par Apple elle-même. Les comptes iCloud jouent un rôle très important maintenant dans l’interconnexion des services. Avec iOS 6, cette prévalence grandira encore, en particulier chez ceux qui auront un Mac puisque de plus en plus d’applications se synchroniseront de manière transparente.

 

Mais tandis que grandit le pouvoir du cloud, Wozniak s’en inquiète : « Je suis vraiment inquiet que tout passe dans le nuage, je crois que ça va être épouvantable. Je pense qu'il va y avoir d’horribles problèmes dans les cinq prochaines années ». Ce qui le dérange en particulier, c’est la sensation que plus rien n’appartient vraiment à l’utilisateur : « Avec le nuage, rien ne vous appartient », avant d’ajouter : « Plus vous transférez tout vers le web, vers le nuage, moins vous avez de contrôle dessus » (propos rapportés par l'AFP).

 

En filigrane se dessine la notion de possession des données. Mais avant même ces réflexions, il existe un problème au potentiel très sérieux : la sécurité des données.

Un piratage qui vire à la vraie catastrophe

Si vous confiez une part importante de votre vie au cloud, la conséquence directe en cas de piratage est l’accès à toutes ces données, leur éventuel détournement ou encore leur suppression pure et simple. Avec à la clé de sérieuses difficultés dans la vie administrative, professionnelle et/ou personnelle. 

 

C’est précisément ce type d’incident qui s’est produit pour Mat Honan, journaliste au magazine Wired. Ce dernier utilise notamment un MacBook, un iPhone et un iPad. Bien entendu, pour profiter des échanges de données entre ces machines, il se sert d’iCloud. Et c’est ici que les ennuis commencent.

 

Le 3 août, à 16h50, quelqu’un accède à son compte iCloud avec le bon mot de passe. Ce dernier était composé de sept caractères alphanumériques qui n’étaient utilisés nulle part ailleurs. Sur l’instant, Honan imagine que le ou les pirates ont utilisé une action par force brute pour deviner son mot de passe.

 

Le reste est alors un véritable enchainement de galères :

  • 16h52, il reçoit sur adresse @mac.com (compte iCloud) un email de changement de mot de passe de son compte Gmail. Ce dernier présente le même préfixe et le compte iCloud est configuré comme email de secours.
  • À 17h00, l’iPhone voit ses données effacées via un ordre à distance
  • À 17h01, l’iPad subit le même sort
  • À 17h05, le MacBook Air passe lui aussi à la moulinette : tout appareil relié à iCloud peut activer des fonctionnalités pour être retrouvé (GPS) ou pour déclencher justement le blocage ou l’effacement des données.

À partir de là, il tente plusieurs manipulations, comme se connecter à son compte Gmail depuis l’ordinateur de sa femme, mais le mot de passe a bien entendu changé. Puis son compte Twitter est à son tour piraté. Il contacte alors le service client d’Apple par téléphone et n’est pas au bout de ses surprises.

Même plus besoin de pirater un mot de passe : il suffit de demander

Du côté de l’Apple Care en effet, tout semble en règle dans les actions effectuées. Mais un sérieux élément cloche : aucune des informations habituellement fournies pour identifier Mat Honan n’est reconnue. Ni son adresse, ni son numéro de téléphone ou encore son numéro de carte de crédit. Au bout d’environ 1h30 de conversation, il se rend compte que son nom de famille n’est pas prononcé correctement et s’aperçoit alors qu’il s’agit du compte de quelqu’un d’autre. Il n’était toutefois pas plus avancé dans la pratique et se voit fixer un rendez-vous le lendemain.

 

Il a depuis appris, tant par le pirate qui a pris contact avec lui que par Apple qui a confirmé l’information, que la force brute n’avait en aucun cas été utilisée pour que son mot de passe soit trouvé. La vérité est beaucoup plus gênante : le pirate a appelé l’Apple Care et a réussi à se faire passer pour lui. Passant les questions de sécurité posées, ils ont alors demandé une réinitialisation du mot de passe. Le reste a ensuite évolué très vite, comme une maille sur laquelle il suffirait de tirer pour défaire un tapis.

 

Depuis, Mat Honan a récupéré l’usage de son iPad et de son iPhone, ainsi que celui de son compte Gmail. Il a créé un nouveau compte Twitter pour exposer sa situation, et tout rentre progressivement dans l’ordre. Il indique toutefois avoir envoyé un email au PDG d’Apple, Tim Cook, et avoir reçu à peine dix minutes plus tard un appel de l’Apple Care : la firme était au courant de la situation. Selon Honan, Apple réfléchit au cas et quelles méthodes utiliser pour ne pas qu’il se reproduise.

 

La conclusion de cette série d’incidents est particulièrement simple : la protection des comptes est cruciale et elle le deviendra de plus en plus. Non seulement les mots de passe doivent être sélectionnés avec soin, mais il faut impérativement que les structures d’aide, comme l’Apple Care, adaptent leurs méthodes pour exiger des informations plus strictes avant de déclencher des actions dévastatrices.

Source : Mat Honan
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 07/08/2012 à 08:08

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 94 commentaires

Avatar de WereWindle INpactien
WereWindle Le mardi 7 août 2012 à 09:54:34
Inscrit le mercredi 2 avril 08 - 5761 commentaires

à moins qu'ils n'utilisent Siri pour retrouver les clients dans leur base de données, je maintiens que le problème est plus probablement qu'il écrivait mal son nom (sur son pc, là où il est marqué "nom du client" ou "recherche"), pas qu'il le prononçait mal.

trahisooooooooooooon !! shuuun the non believer !
Avatar de luinil INpactien
luinil Le mardi 7 août 2012 à 09:55:03
Inscrit le samedi 10 juin 06 - 1040 commentaires

Tout pareil.
Mes données sont dans mon salon, même si y'a une synchro unidirectionnelle vers l'extérieur.


Et si ton salon est détruit, tes données avec ^^'
Avatar de atomusk Modérateur
atomusk Le mardi 7 août 2012 à 09:58:39
Inscrit le mardi 20 juillet 04 - 21716 commentaires


Et si ton salon est détruit, tes données avec ^^'


Je pense que si son salon est déruit il aura d'autres problèmes
Avatar de maxxyme INpactien
maxxyme Le mardi 7 août 2012 à 10:02:31
Inscrit le mardi 27 juin 06 - 1396 commentaires
La vérité est beaucoup plus gênante : le pirate a appelé l’Apple Care et a réussi à se faire passer pour lui. Passant les questions de sécurité posées, ils ont alors demandé une réinitialisation du mot de passe. Le reste a ensuite évolué très vite, comme une maille sur laquelle il suffirait de tirer pour défaire un tapis.

Tiens, c'est marrant... c'est ce que faisait Kevin Mitnick il y a à peu près 20 ans... ça s'appelle du social engineering, c'est tout bête !!!
Avatar de luinil INpactien
luinil Le mardi 7 août 2012 à 10:03:01
Inscrit le samedi 10 juin 06 - 1040 commentaires


Je pense que si son salon est déruit il aura d'autres problèmes


Raison de plus pour pas en ajouter d'autres ^^'
Avatar de Tolor Modérateur
Tolor Le mardi 7 août 2012 à 10:04:25
Inscrit le mercredi 5 août 09 - 12179 commentaires


Je pense que si son salon est déruit il aura d'autres problèmes

Si mon salon était détruit, ça me ferait plus chier pour toutes mes données que pour mon salon (matériel VS semtimental).

Mais bon, mes données sont sur un NAS et en ligne, donc pas trop de risque à ce moment (sauf si quelqu'un s'amuse à pirater mon compter est bruler mon appartement, mais là, faudrait vraiment que quelqu'un m'en veuille )

Edité par Tolor le mardi 7 août 2012 à 10:04
Avatar de bibou65 INpactien
bibou65 Le mardi 7 août 2012 à 10:07:49
Inscrit le mardi 7 novembre 06 - 1436 commentaires
étonnant qu'apple reset le password comme ca juste apres avoir reçu quelque réponse...

serai pas plus simple que le service d'apple pose les questions et ensuite envois un lien pour reseter le password sur l'adresse principale (Gmail dans ce cas la)

ou encore par SMS comme google.

par si compliqué

Edité par bibou65 le mardi 7 août 2012 à 10:08
Avatar de atomusk Modérateur
atomusk Le mardi 7 août 2012 à 10:10:50
Inscrit le mardi 20 juillet 04 - 21716 commentaires

Si mon salon était détruit, ça me ferait plus chier pour toutes mes données que pour mon salon (matériel VS semtimental).

Mais bon, mes données sont sur un NAS et en ligne, donc pas trop de risque à ce moment (sauf si quelqu'un s'amuse à pirater mon compter est bruler mon appartement, mais là, faudrait vraiment que quelqu'un m'en veuille )


perso, mes données "d'importance" sont dupliqués sur le PC de mon frere, sur mon WHS (avec déduplication), sur un serveur chez mes parents, et j'ai une copie de tous les fichiers sur un disque dur 1.5To protégé dans son papier antistatique caché chez mes parents (donc même si un virus tuais tous les Pc, j'aurai toujours cette copie )
Avatar de misterB INpactien
misterB Le mardi 7 août 2012 à 10:11:35
Inscrit le vendredi 22 octobre 04 - 145760 commentaires
étonnant qu'apple reset le password comme ca juste apres avoir reçu quelque réponse...

serai pas plus simple que le service d'apple pose les questions et ensuite envois un lien pour reseter le password sur l'adresse principale (Gmail dans ce cas la)

ou encore par SMS comme google.

par si compliqué

ils ont pas forcement ton numéro de téléphone et si le Hacker le donne ce ne sera sans doute pas le tiens

Avatar de bibou65 INpactien
bibou65 Le mardi 7 août 2012 à 10:16:07
Inscrit le mardi 7 novembre 06 - 1436 commentaires

ils ont pas forcement ton numéro de téléphone et si le Hacker le donne ce ne sera sans doute pas le tiens



google a bien sur demander les numeros de telephone, okay s'est privé machin mais ca peut sauver la vie dans ce cas

avec leur cloud il on bien plus de donnes senssible qu'un petit numero de tel à rajouter dans chaque compte

(pour une fois qu'on peu tapper sur apple fume.gif)
;