On apprenait il y a tout juste quelques jours qu’Apple avait laissé trainer une grossière faille de sécurité permettant de pirater un compte iCloud en « Brute Force« , ce par le biais d’un outil logiciel, iDict, qui faisait passer la connexion vers les zones d’identifiants iCloud comme provenant d’un iPhone; Apple ayant malencontreusement oublié de bloquer les essais multiples de mots de passe iCloud (au delà de trois tentatives) sur son iBidule, le piratage par simple système d’essais/erreurs répétés devenait à nouveau possible, le logiciel se basant sur un dictionnaire de 500 mots de passe courants (ce qui du coup ne rendait pas non plus le risque de piratage trop virulent).

iCloud.com

Bien que la méthode ne corresponde pas à proprement parler à un « crackage » des serveurs de Cupertino (qui jusqu’à preuve du contraire n’ont jamais été dupés) et que donc un piratage massif du type de celui qu’ont connu dernièrement Sony, Microsoft ou même peut-être Google (comptes Gmail dans la nature) n’est pas à craindre (là encore jusqu’à preuve du contraire), la faille elle-même était grossière, et faisait clairement « tâche » dans le paysage, un peu comme si une banque avait créé un coffre-fort inviolable tout en laissant trainer le code d’ouverture sur un coin de bureau.

C’est le créateur de l’application iDict qui a lui-même précisé aujourd’hui que la faille avait été comblée par Apple, et qu’au delà de 3 essais infructueux de connexion via iPhone, (ou via un logiciel se faisant passer pour un iPhone), le compte était logiquement bloqué. La réaction d’Apple aura au moins été rapide, même si cela n’empêche pas l’impression d’une gestion brouillonne de la sécurité chez le californien, où les éléments « lourds » (serveurs, cryptage des données) semblent particulièrement bien sécurisés tandis que de simples points d’entrée dans le système (identifiants de connexion) ne sont clairement pas protégés comme ils le devraient.