Apple sera plus stricte sur les réinitialisations de mots de passe iCloud

Les mésaventures du journaliste Mat Honan ont provoqué de nombreuses interrogations sur la sécurité du cloud. Son compte iCloud détourné, il a perdu en effet le contrôle de ses trois machines Apple (un MacBook, un iPad et un iPhone). Le pirate avait utilisé des informations trouvées sur le web et notamment sur Amazon pour contacter le service client d’Apple et prendre l’identité de sa victime. La société de Cupertino a donc mis en pause une partie de ses procédures.

Apple s’était défendue devant les accusations en expliquant que ses procédures de sécurité n’avaient pas été complètement suivies par la personne qui avait traité la demande du pirate. On ne sait pas en revanche où se situait la faille car le pirate possédait des informations relativement précises telles que le prénom, le nom, l’adresse postale ou encore les quatre derniers chiffres de la carte bancaire.

Cependant, Apple s’est manifestement inquiétée des conséquences possibles de répétitions dans ce schéma. Car si un pirate est arrivé une fois à se faire passer pour sa victime à l’aide d’informations glanées sur le web, d’autres pourraient recommencer. Nous vous avions indiqué précédemment qu’un blocage des réinitialisations de mots de passe avait été mis en place pour le service téléphonique. Prévu normalement pour 24 heures selon une source interne à Apple, il est pour l’instant maintenu.

Ce blocage a été officialisé depuis par la société. La porte-parole Natalie Kerris a ainsi indiqué au site TheNextWeb : « Nous avons temporairement suspendu la possibilité de réinitialiser les mots de passe Apple ID par téléphone. Nous demandons à nos clients qui ont besoin de réinitialiser leur mot de passe de continuer notre système en ligne iForgot (iforgot.apple.com) ».

La firme a par ailleurs indiqué à Bloomberg que la procédure serait nettement plus stricte lorsqu’elle redeviendrait disponible par téléphone. La vérification d’identité sera « plus poussée », et on peut imaginer que les employés du service client auront des consignes sévères sur la question. Cela suppose pour l’utilisateur un contrôle plus dur et donc d’avoir en tête certains détails utilisés lors de la création du compte.

Le blocage de la réinitialisation par téléphone sonne comme un aveu pour Apple. La société ne peut plus se reposer sur la seule base de ses procédures à suivre scrupuleusement par ses employés. Le véritable problème repose sur une conjonction de plusieurs éléments :

• L’exposition de données exploitables sur le web, en l’occurrence sur Amazon
• Leur utilisation pour un autre service qui demande justement ces informations comme preuves d’identité
• Le chainage des comptes

Car en définitive, même si Amazon a exposé des informations (le problème a été corrigé) et si Apple n’a pas vérifié de manière assez stricte l’identité de la personne, Mat Honan avait lié ses comptes les uns aux autres. S’emparer du principal faisait alors s’écrouler l’ensemble comme un château de cartes.

• Signaler
• Envoyer