La polémique ne cesse d’enfler depuis le leak de centaines de photographies provenant du compte iCloud (et d’autres sources) de quelques dizaines de célébrités. iCloud est montré du doigt comme un système totalement « ouvert » aux quatre vents, peu fiable et aussi peu protégé que ne l’était le PSN de Sony; certains laissent même supposer que les données bancaires détenues sur iTunes seraient en danger et que le prochain service de paiement NFC aurait déjà du plomb dans l’aile au vu de ces manquements graves en sécurité.

En fait, il n’en est rien, et c’est un article destiné à prouver une nouvelle fois les énormes fragilités d’iCloud qui démontre à quel point le remue ménage de ces derniers jours est plus qu’exagéré, et pour tout dire à la limite de la malhonnêteté intellectuelle. L’article en question est celui de la journaliste Christina Warren du site Mashable . Celle-ci prétend qu’un simple logiciel (EPPB – Elcomsoft Phone Password Breaker)  coûtant entre 75 et 400 dollars selon les versions, permet de cracker iCloud. Les sauvegardes iCloud des utilisateurs seraient ainsi très facilement récupérables … si l’on a déjà les mots de passe desdits utilisateurs ! Vous avez bien lu, pour avoir accès à iCloud, il faut avoir les informations (ID + mot de passe)  qui vous permettraient d’accéder à iCloud sans le logiciel en question (autant dire que le logiciel ne sert pratiquement à …rien, si ce n’est ensuite sniffer automatiquement le backup iCloud).

iCloud.com

Et bien sûr, la récupération des mots de passe  en elle-même se fait grâce à un simple travail d’ingénierie sociale, qui n’a pas grand chose à voir avec une faille de sécurité d’iCloud. Le phishing, la récupération de mots de passe en répondant à des questions clefs, à moins de multiplier les contrôles qui rendraient le cloud, de facto, impropre à l’usage pour le commun des mortels, ont toujours été des moyens d’accéder à des réseaux sécurisés; ce n’est pas nouveau, et s’il fallait épingler la liste des entreprises qui ont été victimes de ce genre de « piratage » social, on y passerait la journée et sans doute la nuit. La journaliste estime pourtant qu’Apple est en faute et devrait introduire la double-vérification (envoi de code sur le mobile de l’utilisateur par exemple) absolument partout.

Autre élément de grief, le passage en Brute Force sur le mot de passe (essai-erreur à volonté) a beau avoir été rendu totalement impossible depuis la dernière mise à jour d’Apple, Christina Warren estime tout de même que les temps d’attente à rallonge à chaque erreur ne sont pas suffisants et n’empêcheront pas un pirate d’essayer un nouveau mot de passe même s’il lui faut attendre plusieurs heures entre chaque essai (par ce procédé, un mot de passe bien pensé devrait être « cracké » en 10 ans au moins); là, on frôle tout de même le stade de la mauvaise fois, avec la forte impression qu’il s’agit de dénicher une soit disant faille de sécurité derrière le moindre choix de protection d’Apple.

Jennifer Lawrence Nue Hack

Reste que dans sa version la plus chère, EPPB s’appuie vraiment sur ce que l’on peut considérer être une vraie faille du système cette fois : le fait que le logiciel puisse émuler l’authentification d’un compte iCloud auprès des serveurs Apple, et permette ainsi de récupérer les informations d’un compte situé sur le même réseau local (en Wi-Fi). Mais là encore, ce type de piratage se produit dans un cadre de contraintes particulier : avoir un accès physique à la machine de l’utilisateur ou bien encore être sur le même réseau que l’utilisateur en question et au moment où celui-ci accède à son compte iCloud.

Bref, malgré un système encore largement faillible, il n’en reste pas moins que les données bancaires d’iTunes n’ont jamais pu être piratées, et qu’un hack réel des serveurs Apple (que ce soient ceux d’iTunes ou d’iCloud ) conduisant à un vol massif de données (par milliers ou millions de comptes et non pas des attaques ciblées comptes après comptes) ne s’est encore jamais produit. Le hack massif du PSN de Sony concernait des millions de données d’utilisateurs, dont certaines nettement plus sensibles que de simples photos, Ebay a subi le même sort récemment, et le FBI enquête activement sur un piratage massif de plusieurs banques américaines. Il est souvent de bon ton de se gausser des failles de sécurité d’Apple, mais de quoi parle t-on exactement, et sur quelle échelle de risques réels ? Répondre à la question c’est déjà en relativiser la portée.

Certes, Apple n’est pas parfait et il peut toujours améliorer la protection de son système (obliger la saisie de mots de passes plus complexes par exemple, crypter le contrôle d’authentification par les serveurs), mais à ne voir que les « failles » d’Apple en oubliant les gouffres béants constatés ces dernières années chez nombre de concurrents, la multiplication  des mises en cause de la sécurité et de la protection des données personnelles chez Cupertino finit par ressembler à une « distorsion field » qui jouerait contre les intérêts de la firme à la pomme. La journaliste de Mashable reconnait d’ailleurs elle même, dans un souffle, que le logiciel EPPB peut aussi récupérer les informations des comptes One Drive de Microsoft ainsi que les données des utilisateurs sous Blackberry 10. Pourquoi alors ne pointer que les « défaillances » d’Apple en ce cas (et en utilisant la loupe grossissante si possible) ? Tout ce qui est excessif étant insignifiant dit le proverbe…