Les sauvegardes iCloud seraient facilement récupérables…si l’on a déjà le mot de passe utilisateur
La polémique ne cesse d’enfler depuis le leak de centaines de photographies provenant du compte iCloud (et d’autres sources) de quelques dizaines de célébrités. iCloud est montré du doigt comme un système totalement « ouvert » aux quatre vents, peu fiable et aussi peu protégé que ne l’était le PSN de Sony; certains laissent même supposer que les données bancaires détenues sur iTunes seraient en danger et que le prochain service de paiement NFC aurait déjà du plomb dans l’aile au vu de ces manquements graves en sécurité.
En fait, il n’en est rien, et c’est un article destiné à prouver une nouvelle fois les énormes fragilités d’iCloud qui démontre à quel point le remue ménage de ces derniers jours est plus qu’exagéré, et pour tout dire à la limite de la malhonnêteté intellectuelle. L’article en question est celui de la journaliste Christina Warren du site Mashable . Celle-ci prétend qu’un simple logiciel (EPPB – Elcomsoft Phone Password Breaker) coûtant entre 75 et 400 dollars selon les versions, permet de cracker iCloud. Les sauvegardes iCloud des utilisateurs seraient ainsi très facilement récupérables … si l’on a déjà les mots de passe desdits utilisateurs ! Vous avez bien lu, pour avoir accès à iCloud, il faut avoir les informations (ID + mot de passe) qui vous permettraient d’accéder à iCloud sans le logiciel en question (autant dire que le logiciel ne sert pratiquement à …rien, si ce n’est ensuite sniffer automatiquement le backup iCloud).
Et bien sûr, la récupération des mots de passe en elle-même se fait grâce à un simple travail d’ingénierie sociale, qui n’a pas grand chose à voir avec une faille de sécurité d’iCloud. Le phishing, la récupération de mots de passe en répondant à des questions clefs, à moins de multiplier les contrôles qui rendraient le cloud, de facto, impropre à l’usage pour le commun des mortels, ont toujours été des moyens d’accéder à des réseaux sécurisés; ce n’est pas nouveau, et s’il fallait épingler la liste des entreprises qui ont été victimes de ce genre de « piratage » social, on y passerait la journée et sans doute la nuit. La journaliste estime pourtant qu’Apple est en faute et devrait introduire la double-vérification (envoi de code sur le mobile de l’utilisateur par exemple) absolument partout.
Autre élément de grief, le passage en Brute Force sur le mot de passe (essai-erreur à volonté) a beau avoir été rendu totalement impossible depuis la dernière mise à jour d’Apple, Christina Warren estime tout de même que les temps d’attente à rallonge à chaque erreur ne sont pas suffisants et n’empêcheront pas un pirate d’essayer un nouveau mot de passe même s’il lui faut attendre plusieurs heures entre chaque essai (par ce procédé, un mot de passe bien pensé devrait être « cracké » en 10 ans au moins); là, on frôle tout de même le stade de la mauvaise fois, avec la forte impression qu’il s’agit de dénicher une soit disant faille de sécurité derrière le moindre choix de protection d’Apple.
Reste que dans sa version la plus chère, EPPB s’appuie vraiment sur ce que l’on peut considérer être une vraie faille du système cette fois : le fait que le logiciel puisse émuler l’authentification d’un compte iCloud auprès des serveurs Apple, et permette ainsi de récupérer les informations d’un compte situé sur le même réseau local (en Wi-Fi). Mais là encore, ce type de piratage se produit dans un cadre de contraintes particulier : avoir un accès physique à la machine de l’utilisateur ou bien encore être sur le même réseau que l’utilisateur en question et au moment où celui-ci accède à son compte iCloud.
Bref, malgré un système encore largement faillible, il n’en reste pas moins que les données bancaires d’iTunes n’ont jamais pu être piratées, et qu’un hack réel des serveurs Apple (que ce soient ceux d’iTunes ou d’iCloud ) conduisant à un vol massif de données (par milliers ou millions de comptes et non pas des attaques ciblées comptes après comptes) ne s’est encore jamais produit. Le hack massif du PSN de Sony concernait des millions de données d’utilisateurs, dont certaines nettement plus sensibles que de simples photos, Ebay a subi le même sort récemment, et le FBI enquête activement sur un piratage massif de plusieurs banques américaines. Il est souvent de bon ton de se gausser des failles de sécurité d’Apple, mais de quoi parle t-on exactement, et sur quelle échelle de risques réels ? Répondre à la question c’est déjà en relativiser la portée.
Certes, Apple n’est pas parfait et il peut toujours améliorer la protection de son système (obliger la saisie de mots de passes plus complexes par exemple, crypter le contrôle d’authentification par les serveurs), mais à ne voir que les « failles » d’Apple en oubliant les gouffres béants constatés ces dernières années chez nombre de concurrents, la multiplication des mises en cause de la sécurité et de la protection des données personnelles chez Cupertino finit par ressembler à une « distorsion field » qui jouerait contre les intérêts de la firme à la pomme. La journaliste de Mashable reconnait d’ailleurs elle même, dans un souffle, que le logiciel EPPB peut aussi récupérer les informations des comptes One Drive de Microsoft ainsi que les données des utilisateurs sous Blackberry 10. Pourquoi alors ne pointer que les « défaillances » d’Apple en ce cas (et en utilisant la loupe grossissante si possible) ? Tout ce qui est excessif étant insignifiant dit le proverbe…
La photo c’était pas obligé … Elle a déjà assez morfler sans en rajouter je pense.
j’avous, ils voulaient encore que certaines personnes se rincent l’oeil ^^
Elle son téléchargea les sur the pirate bay pour les intéressés
Bien fait???? Elles ont fait qqch de mal pour mérité ça…?
Excellent article, marre aussi de cette mauvaise foi
On peut facilement retirer de l’argent avec les cartes bleues volées … Si on a le code !
Tu peux aussi commander sur internet avec des cartes bleues volées… sans code. ;)
il est évidemment condamnable de hacker et/ou de diffuser les photos venant de toute personne, star ou non. Et il est écoeurant de s’attaquer ainsi à des personnes.
Cependant, je ne comprends pas ces personnes (star ou non) qui font des photos d’elles nues ou compromettantes, et s’imaginent que, même dans le cadre d’une diffusion restreinte, celles ci ne seront jamais diffusée. On est trop à la merci d’une mauvaise manip, d’une intention malveillante ou d’une vengeance tardive (divorce, …).
combien de gens échangent tout simplement des clés USB ou des disques durs portables avec leurs collègues/voisins/amis sans penser à vérifier la confidentialité de leur contenu.
Travaillant dans l’informatique, combien de fois n’ai je vu les fichiers de comptabilité perso, les photos et les sauvegardes de personnes qui ne pensent pas à faire le ménage ou à protéger leurs données.
1- pensez à sécuriser vos données, vos sauvegardes, et faites attention à ce que vous confiez
2- évitez tout simplement de faire des photos/vidéos/mail/SMS/MMS… qui pourraient être compromettants
3- et n’oubliez pas de remettre à 0 vos matériels avant de les vendre ou les donner. J’ai encore récemment trouver des photos osées sur un vieux Nokia N95.
Bien dit Et encore même formater on peut encore récupéré des infos ;).
Si tu formate 2-3 fois avec des formats différents les chances rapetissent vite
Un très bon article et qui relève un peu le niveau littéraire de votre blog ;)
Très belle analyse Fred :)
En tout cas je mettrais un mots de passe qui ressemble au code binaire comme ca celui qui veut me pirater il va avoir du mal a trouver
Un des meilleurs moyens de ne pas se faire piquer ses coordonnées bancaires… Est de ne pas les rentrer dans son compte iTunes.
Il ne me prend pas mon mot de passe pour acheter de la mémoire . Comment faire ?