Cette semaine, une histoire peu rassurante a vu le jour en Australie, au Canada, aux États-Unis et ailleurs. Certains utilisateurs d’iPhone, d’iPad et même de Mac ont vu leurs appareils bloqués. Un hackeur s’est chargé de passer par la fonction « Localiser mon iPhone » afin de les bloquer. Il demande en échange une certaine somme d’argent pour rendre l’appareil de nouveau utilisable (lire : Le hacker Oleg Pliss organise un chantage pour redonner l’accès de certains Mac ou iPhone à leurs propriétaires). Apple n’avait rien communiqué à ce sujet une fois l’affaire publiée sur différents médias. Aujourd’hui, elle communique enfin.

Oleg Pliss-hacker
Dans un communiqué transmis à ZDNet, la firme de Cupertino souligne « prendre la sécurité très au sérieux et iCloud n’a pas été compromis durant cet incident ». Elle suggère que les utilisateurs affectés changent rapidement de mot de passe et qu’ils n’utilisent pas le même sur plusieurs services. Elle ajoute qu’ils peuvent se tourner vers l’AppleCare ou vers les Apple Store s’ils ont quelques questions à ce sujet.

Comment ce hackeur a-t-il pu procéder de la sorte si iCloud n’est pas piraté ? Il est très probable que les identifiants des utilisateurs concernés aient été récupérés d’une manière ou d’une autre. Le hackeur a donc pu les utiliser pour prendre le contrôle de la fonction « Localiser mon iPhone » — il peut bloquer/débloquer la situation en quelques clics seulement.

Reste à savoir combien d’identifiants le hackeur dispose. Il est donc fortement recommandé de changer son mot de passe et d’appliquer la vérification en deux étapes. Avec cette méthode, un mot de passe sera envoyé par SMS afin de confirmer la connexion. Si un hackeur a les identifiants, mais pas ce mot de passe envoyé par SMS, il ne pourra pas se connecter. La vérification en deux étapes s’active depuis cette adresse.