S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Apple a laissé un pirate s'emparer du compte iCloud d'un journaliste

Quand la sécurité compte pour d'iCloud

Le cloud au sens large est amené à jouer un rôle de plus en plus important dans la vie des utilisateurs. Graduellement, nous y plaçons une part grandissante de nos informations. Tandis que Steve Wozniak, co-fondateur d’Apple, exprimait récemment ses craintes à ce sujet, le piratage d’un journaliste de Wired rappelle combien la protection des comptes est primordiale.

 

Wozniak : la crainte du dérapage dans le cloud

Lors d’un événement dans un théâtre, Steve Wozniak a livré quelques bribes d’avis sur le cloud. Difficile en effet de rater ce dernier, à commencer par Apple elle-même. Les comptes iCloud jouent un rôle très important maintenant dans l’interconnexion des services. Avec iOS 6, cette prévalence grandira encore, en particulier chez ceux qui auront un Mac puisque de plus en plus d’applications se synchroniseront de manière transparente.

 

Mais tandis que grandit le pouvoir du cloud, Wozniak s’en inquiète : « Je suis vraiment inquiet que tout passe dans le nuage, je crois que ça va être épouvantable. Je pense qu'il va y avoir d’horribles problèmes dans les cinq prochaines années ». Ce qui le dérange en particulier, c’est la sensation que plus rien n’appartient vraiment à l’utilisateur : « Avec le nuage, rien ne vous appartient », avant d’ajouter : « Plus vous transférez tout vers le web, vers le nuage, moins vous avez de contrôle dessus » (propos rapportés par l'AFP).

 

En filigrane se dessine la notion de possession des données. Mais avant même ces réflexions, il existe un problème au potentiel très sérieux : la sécurité des données.

Un piratage qui vire à la vraie catastrophe

Si vous confiez une part importante de votre vie au cloud, la conséquence directe en cas de piratage est l’accès à toutes ces données, leur éventuel détournement ou encore leur suppression pure et simple. Avec à la clé de sérieuses difficultés dans la vie administrative, professionnelle et/ou personnelle. 

 

C’est précisément ce type d’incident qui s’est produit pour Mat Honan, journaliste au magazine Wired. Ce dernier utilise notamment un MacBook, un iPhone et un iPad. Bien entendu, pour profiter des échanges de données entre ces machines, il se sert d’iCloud. Et c’est ici que les ennuis commencent.

 

Le 3 août, à 16h50, quelqu’un accède à son compte iCloud avec le bon mot de passe. Ce dernier était composé de sept caractères alphanumériques qui n’étaient utilisés nulle part ailleurs. Sur l’instant, Honan imagine que le ou les pirates ont utilisé une action par force brute pour deviner son mot de passe.

 

Le reste est alors un véritable enchainement de galères :

  • 16h52, il reçoit sur adresse @mac.com (compte iCloud) un email de changement de mot de passe de son compte Gmail. Ce dernier présente le même préfixe et le compte iCloud est configuré comme email de secours.
  • À 17h00, l’iPhone voit ses données effacées via un ordre à distance
  • À 17h01, l’iPad subit le même sort
  • À 17h05, le MacBook Air passe lui aussi à la moulinette : tout appareil relié à iCloud peut activer des fonctionnalités pour être retrouvé (GPS) ou pour déclencher justement le blocage ou l’effacement des données.

À partir de là, il tente plusieurs manipulations, comme se connecter à son compte Gmail depuis l’ordinateur de sa femme, mais le mot de passe a bien entendu changé. Puis son compte Twitter est à son tour piraté. Il contacte alors le service client d’Apple par téléphone et n’est pas au bout de ses surprises.

Même plus besoin de pirater un mot de passe : il suffit de demander

Du côté de l’Apple Care en effet, tout semble en règle dans les actions effectuées. Mais un sérieux élément cloche : aucune des informations habituellement fournies pour identifier Mat Honan n’est reconnue. Ni son adresse, ni son numéro de téléphone ou encore son numéro de carte de crédit. Au bout d’environ 1h30 de conversation, il se rend compte que son nom de famille n’est pas prononcé correctement et s’aperçoit alors qu’il s’agit du compte de quelqu’un d’autre. Il n’était toutefois pas plus avancé dans la pratique et se voit fixer un rendez-vous le lendemain.

 

Il a depuis appris, tant par le pirate qui a pris contact avec lui que par Apple qui a confirmé l’information, que la force brute n’avait en aucun cas été utilisée pour que son mot de passe soit trouvé. La vérité est beaucoup plus gênante : le pirate a appelé l’Apple Care et a réussi à se faire passer pour lui. Passant les questions de sécurité posées, ils ont alors demandé une réinitialisation du mot de passe. Le reste a ensuite évolué très vite, comme une maille sur laquelle il suffirait de tirer pour défaire un tapis.

 

Depuis, Mat Honan a récupéré l’usage de son iPad et de son iPhone, ainsi que celui de son compte Gmail. Il a créé un nouveau compte Twitter pour exposer sa situation, et tout rentre progressivement dans l’ordre. Il indique toutefois avoir envoyé un email au PDG d’Apple, Tim Cook, et avoir reçu à peine dix minutes plus tard un appel de l’Apple Care : la firme était au courant de la situation. Selon Honan, Apple réfléchit au cas et quelles méthodes utiliser pour ne pas qu’il se reproduise.

 

La conclusion de cette série d’incidents est particulièrement simple : la protection des comptes est cruciale et elle le deviendra de plus en plus. Non seulement les mots de passe doivent être sélectionnés avec soin, mais il faut impérativement que les structures d’aide, comme l’Apple Care, adaptent leurs méthodes pour exiger des informations plus strictes avant de déclencher des actions dévastatrices.

Source : Mat Honan
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 07/08/2012 à 08:08

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 94 commentaires

Avatar de WereWindle INpactien
WereWindle Le mardi 7 août 2012 à 08:17:00
Inscrit le mercredi 2 avril 08 - 5761 commentaires
réaction n°1 : mdr2.gif
réaction n°2 : c'est préoccupant quand même...

Je dis pas qu'il est simple de mettre en place une procédure pour permettre au noob à l'utilisateur peu éduqué dans le domaine de récupérer facilement son mot de passe (après tout, un des traits d'Apple c'est que l'utilisation est simple, non ?) mais bon sang ! là c'est ubuesque (kafkaien si on veut la jouer cultivé).
Avatar de yukon_42 INpactien
yukon_42 Le mardi 7 août 2012 à 08:26:11
Inscrit le mardi 19 juin 07 - 1488 commentaires
non mais de toute façon, tant que les gens ne seront pas éduqué un minimum, y'aura toujours des crétins pour croire que le cloud c'est trop de la bombe ( un peu comme apple ( Je peche misterB à la grenade ))

Oui le cloud c'est bien mais pas pour stocker des données persos et / ou importante.

Pour l'histoire d'une procédure @WereWindle, je vois mal les grands acteurs faire ce genre de chose ou alors de manière biaisé : ils ont tout intérêt à ce que nous devenons encire plus dépendant d'eux.


ps : @MisterB

Edité par yukon_42 le mardi 7 août 2012 à 08:26
Avatar de yoda222 INpactien
yoda222 Le mardi 7 août 2012 à 08:34:02
Inscrit le mercredi 5 mai 04 - 4328 commentaires
il se rend compte que son nom de famille n’est pas prononcé correctement


Le type ne prononce pas correctement son propre nom ? Il est plutôt mal écrit (par son correspondant) que mal prononcé (par lui) non ?
Avatar de Vincent_H Equipe
Vincent_H Le mardi 7 août 2012 à 08:35:45
Inscrit le jeudi 30 janvier 03 - 15419 commentaires


Le type ne prononce pas correctement son propre nom ? Il est plutôt mal écrit (par son correspondant) que mal prononcé (par lui) non ?


Apple Care, c'est un service client au téléphone, donc avec une vraie personne qui parle. C'est le conseiller qui prononçait mal son nom évidemment.
Avatar de CUlater INpactien
CUlater Le mardi 7 août 2012 à 08:38:25
Inscrit le jeudi 17 juin 10 - 1619 commentaires


Je n'aurais pu espérer mieux comme démonstration de débilité qu'est le cloud computing.

Rien à dire sur le social engineering, le gars du support pose bien les "questions de sécurité" comme lorsque vous appelez votre FAI. Pas de failles pour moi là-dessus. Bon le fait qu'il touche à un compte d'un autre gars c'est plus qu'autre chose, et ça reste pour moi anecdotique.

Les citations de Wozniak résument parfaitement la situation.
Avatar de jeje07 INpactien
jeje07 Le mardi 7 août 2012 à 08:39:28
Inscrit le jeudi 11 mars 10 - 1934 commentaires
Ouche!

Je crois que je vais attendre un peu pour passer aux autres icloud et dropbox........

Avatar de Gilbert_Gosseyn INpactien
Gilbert_Gosseyn Le mardi 7 août 2012 à 08:39:43
Inscrit le mercredi 27 mai 09 - 1075 commentaires
Mais tandis que grandit le pouvoir du cloud, Wozniak s’en inquiète : « Je suis vraiment inquiet que tout passe dans le nuage, je crois que ça va être épouvantable. Je pense qu'il va y avoir d’horribles problèmes dans les cinq prochaines années ». Ce qui le dérange en particulier, c’est la sensation que plus rien n’appartient vraiment à l’utilisateur : « Avec le nuage, rien ne vous appartient », avant d’ajouter : « Plus vous transférez tout vers le web, vers le nuage, moins vous avez de contrôle dessus » (propos rapportés par l'AFP).
L'est tout sauf c*n lui ...
Avatar de plumachau INpactien
plumachau Le mardi 7 août 2012 à 08:39:58
Inscrit le jeudi 6 octobre 05 - 1253 commentaires
Bon, j'ai le même mot de passe pour tous mes comptes, le mot de passe et mot_de_passe ...

Il va falloir que je trouve mieux, bon mon nouveau mot de passe est "mieux"
Avatar de FFManiac INpactien
FFManiac Le mardi 7 août 2012 à 08:39:59
Inscrit le jeudi 24 mai 12 - 352 commentaires
Le problème c'est que ce genre d'histoire ça laisse des traces.

Edité par ffmaniac le mardi 7 août 2012 à 08:40
Avatar de gavroche69 INpactien
gavroche69 Le mardi 7 août 2012 à 08:40:40
Inscrit le mardi 14 décembre 10 - 3392 commentaires
Croire à la sécurité du cloud , croire à la confidentialité sur les réseaux sociaux et plus généralement croire à l'anonymat sur le WEB, c'est comme croire au Père Noël mais ça peut avoir des conséquences nettement plus graves.
;