Apple connaissait depuis des mois la faiblesse de sécurité du service iCloud (que certains considèrent être à l’origine du piratage de plusieurs comptes de célébrités ces dernières semaines). En effet, la firme de Cupertino a été informée en mars 2014 via courriels par le développeur et expert en sécurité indépendant Ibrahim Balic a qui l’on doit entre autre le crash du Dev Center l’année dernière, qu’il était en mesure de contourner la sécurité de n’importe quel compte iCloud. Ce dernier affirmait qu’une attaque par Brute Force permettrait de casser n’importe quel mot de passe.

icloud securite
Balic avait recommandé à Apple de mettre en œuvre une fonction de blocage iCloud empêchant le connexion après un certain nombre de tentatives infructueuses. En mai 2014, Apple a contesté la validité de l’exploit de Balic déclarant qu’il lui fallait un temps extrêmement long avant de pouvoir trouver le mot de passe d’un compte iCloud (Balic de son côté explique avoir utilisé en moyenne plus 20 000 combinaisons de mots de passe pour chaque compte, ce qui est en effet un nombre très important d’essais).

Alors que plusieurs comptes iCloud de célébrités ont été piratés le 1er Septembre, le site The Next Web affirme qu’un script Python par Brute Force a été utilisé pour ce piratage. Néanmoins à l’heure actuelle, il n’existe encore aucune preuve réelle que la seule méthode utilisée pour le leak massif ait été le passage en Brute Force : certaines photos étaient très anciennes et effacées depuis longtemps (confirmé par les victimes elles-même), d’autres ont été prises avec des smartphones qui ne sont pas des iPhone (cela se voit tout simplement sur certains clichés pris devant un miroir, et rien ne dit qu’il n’y en ait pas d’autres), d’autres proviennent de comptes Dropbox, et la piste du forçage social (réponses aux questions clefs personnelles) a été elle aussi évoquée. De plus, Apple lui même a révoqué toute récupération de donnée par utilisation d’une faille connue, ce qui inclus de facto la faille iCloud dévoilée par Bralic (et Apple prendrait un risque juridique à mentir sur ce point puisque l’enquête est maintenant aux mains du FBI, mais tout est toujours possible).

Reste que cela n’excuse pas Apple de ne pas avoir pris au sérieux l’avertissement de Balic, un avertissement qui a tout de même fini par payer…un peu tard, puisque la californien a par la suite procédé à de nouvelles implémentations de sécurité afin de combler la faille « Brute Force ». Quoiqu’il en soit, la marque à la pomme ce serait sans doute bien passée de ces révélations plus que fâcheuses.

 

Article rédigé par Guillaume.