S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Apple sera plus stricte sur les réinitialisations de mots de passe iCloud

Chacun prend note et corrige son tir

Les mésaventures du journaliste Mat Honan ont provoqué de nombreuses interrogations sur la sécurité du cloud. Son compte iCloud détourné, il a perdu en effet le contrôle de ses trois machines Apple (un MacBook, un iPad et un iPhone). Le pirate avait utilisé des informations trouvées sur le web et notamment sur Amazon pour contacter le service client d’Apple et prendre l’identité de sa victime. La société de Cupertino a donc mis en pause une partie de ses procédures.

icloud

 

Apple s’était défendue devant les accusations en expliquant que ses procédures de sécurité n’avaient pas été complètement suivies par la personne qui avait traité la demande du pirate. On ne sait pas en revanche où se situait la faille car le pirate possédait des informations relativement précises telles que le prénom, le nom, l’adresse postale ou encore les quatre derniers chiffres de la carte bancaire.

 

Cependant, Apple s’est manifestement inquiétée des conséquences possibles de répétitions dans ce schéma. Car si un pirate est arrivé une fois à se faire passer pour sa victime à l’aide d’informations glanées sur le web, d’autres pourraient recommencer. Nous vous avions indiqué précédemment qu’un blocage des réinitialisations de mots de passe avait été mis en place pour le service téléphonique. Prévu normalement pour 24 heures selon une source interne à Apple, il est pour l’instant maintenu.

 

Ce blocage a été officialisé depuis par la société. La porte-parole Natalie Kerris a ainsi indiqué au site TheNextWeb : « Nous avons temporairement suspendu la possibilité de réinitialiser les mots de passe Apple ID par téléphone. Nous demandons à nos clients qui ont besoin de réinitialiser leur mot de passe de continuer notre système en ligne iForgot (iforgot.apple.com) ».

 

La firme a par ailleurs indiqué à Bloomberg que la procédure serait nettement plus stricte lorsqu’elle redeviendrait disponible par téléphone. La vérification d’identité sera « plus poussée », et on peut imaginer que les employés du service client auront des consignes sévères sur la question. Cela suppose pour l’utilisateur un contrôle plus dur et donc d’avoir en tête certains détails utilisés lors de la création du compte.

 

Le blocage de la réinitialisation par téléphone sonne comme un aveu pour Apple. La société ne peut plus se reposer sur la seule base de ses procédures à suivre scrupuleusement par ses employés. Le véritable problème repose sur une conjonction de plusieurs éléments :

  • L’exposition de données exploitables sur le web, en l’occurrence sur Amazon
  • Leur utilisation pour un autre service qui demande justement ces informations comme preuves d’identité
  • Le chainage des comptes

Car en définitive, même si Amazon a exposé des informations (le problème a été corrigé) et si Apple n’a pas vérifié de manière assez stricte l’identité de la personne, Mat Honan avait lié ses comptes les uns aux autres. S’emparer du principal faisait alors s’écrouler l’ensemble comme un château de cartes.

Source : TNW
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 09/08/2012 à 09:59

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 21 commentaires

Avatar de carbier INpactien
carbier Le jeudi 9 août 2012 à 10:29:41
Inscrit le mercredi 28 avril 10 - 4837 commentaires
Les joies du cloud acte I
Avatar de Edtech INpactien
Edtech Le jeudi 9 août 2012 à 10:34:32
Inscrit le mardi 17 octobre 06 - 3725 commentaires
Chez Microsoft, pas mal d'actions importantes s'effectuent par SMS.

Par exemple, quand j'utilise mon compte pour ouvrir une sessions Windows 8 sur une nouvelle machine, la synchronisation est partielle (paramètres sans conséquences comme le fond d'écran ou la couleur des fenêtres) et pour activer le reste, je dois saisir sur le site un code reçu par SMS.

Certaines autres actions sont elles aussi protégées ainsi.

Pas mal de sites demandent des confirmations par retour de mail, mais si on a déjà le mot de passe du compte, ça devient caduc comme méthode.

Quelqu'un sait quel est le niveau de sécurité chez Microsoft ? Vu que tout y sera lié avec Windows 8, ça a intérêt à être blindé !
Avatar de Yolélé INpactien
Yolélé Le jeudi 9 août 2012 à 10:38:04
Inscrit le lundi 28 février 11 - 153 commentaires
Apple sera plus stricte sur les réinitialisations de mots de passe iCloud


Sans déc
Avatar de Angelus69 INpactien
Angelus69 Le jeudi 9 août 2012 à 10:42:17
Inscrit le lundi 9 mai 05 - 1544 commentaires
Bientôt faudra autorisation de Microsoft ou Apple pour pouvoir utiliser son pc .
Encore une raison de ne pas installer win 8 j'ai pas envie de me connecter pour utiliser mon os .
Avatar de Gericoz INpactien
Gericoz Le jeudi 9 août 2012 à 10:43:12
Inscrit le mercredi 6 octobre 04 - 758 commentaires
On ne met pas tous ses oeufs dans le même panier. Forcement si on vol le panier on a plus d'oeufs...

Maintenant la faille viendra toujours de l'humain, le social engineering a encore de beaux jours devant lui.

Il y a 21 commentaires

;