En Australie, plusieurs personnes ont vu leur Mac ou leur appareil iOS être bloqué. Une attaque permettant à l’auteur de réclamer une rançon de 100 dollars en moyenne pour retrouver l’usage de l’appareil. Explications.
Des appareils iOS et des Mac bloqués contre rançon
Le site The Age rapporte que plusieurs utilisateurs de produits Apple ont été victimes d’une attaque un peu particulière, mais simple dans son concept. Le pirate, qui se présente sous l’appellation Oleg Pliss, bloque l’appareil et demande une somme d'argent allant de 50 à 100 dollars. Il s’agit ni plus ni moins que d’une rançon pour retrouver l’usage de son appareil.
En, l’espace de quelques jours, les forums officiels d’Apple se sont remplis de témoignages pour décrire le problème. Ici, on peut ainsi voir un utilisateur expliquant que le message est arrivé sur son iPad, mais que son iPhone affichant lui aussi la demande de rançon. Cette dernière devait par ailleurs être envoyée via PayPal vers un compte Hotmail spécifique. D’autres témoignages font état de cas similaires avec les Mac.
Des comptes iCloud compromis
Quel est le point commun entre tous ces appareils ? Les utilisateurs auraient-ils été victimes de malwares pouvant affecter à la fois OS X et iOS ? L’explication est beaucoup plus simple : le ou les pirates se sont servis des comptes iCloud.
Le compte, réclamé par Apple pour valider les achats sur iTunes et l’App Store, s’accompagne de mesures de sécurité. Nous en avons parlé plusieurs fois récemment dans nos colonnes à la faveur de plusieurs lois votées aux États-Unis pour obliger les constructeurs de smartphones à équiper leurs produits de protections contre le vol. iCloud, tout comme les comptes Microsoft et Google, donnent accès à des fonctionnalités permettant de :
- Bloquer le téléphone à distance via un code
- Trouver sa localisation s’il est allumé
- Faire afficher un message particulier sur l’écran
- Provoquer une sonnerie spéciale
- Effacer ses données à distance
Et c’est bien de piratage de compte iCloud que l’on parle, puisque le pirate, une fois en possession des identifiants, peut accéder aux fonctionnalités que nous venons de citer. Il peut ainsi déclencher le blocage des appareils liés au compte et, puisqu’il est maître du compte, ne pas rendre son contrôle avant d’avoir été payé.
Notez que les appareils configurés avec un code de verrouillage ne peuvent pas être affectés par le problème. En effet, c’est par ce biais que le pirate bloque les appareils, mais un code ne peut pas être ajouté à distance si l’utilisateur en a déjà configuré un. En outre, cette prise de contrôle ne peut pas se faire si l’authentification en deux étapes a été activée dans le compte iCloud.
La question de l'obtention des identifiants
Car la vraie question qui demeure est : comment le pirate a-t-il pu prendre possession de ces comptes ? La multiplication des cas tend en effet à indiquer qu’il possède une liste de comptes auxquels s’attaquer, sans doute en tâchant de deviner les mots de passe. Ce qui soulève évidemment le problème de la complexité de ces derniers, sur laquelle nous reviendrons. Selon MacG, cette liste de comptes pourrait être une conséquence d’une série de problèmes avec les sites d’Apple, dont certains comportaient des failles de sécurité importantes. Il pourrait également s’agir du piratage préalable d’un serveur en vue d’en récupérer
Le problème semble pour le moment circonscrit à l’Australie, mais ceux qui sont affectés n’ont pour le moment pas d’autres choix que de contacter Apple. D’après plusieurs témoignages, la firme prend le problème très au sérieux mais n’a pas réellement de solution pour le moment. Les opérateurs de téléphonie australiens, concernés de près, ont également promis de revenir vers les utilisateurs touchés prochainement.
La question des mots de passe est dans tous les cas aussi classique que dangereux. Pour protéger un compte aussi sensible qu’iCloud, qui synchronise des données, sauvegarde des photos et débloque les achats, il faut donc mettre en place une protection idoine. Le mot de passe principal doit être assez long (huit caractères au strict minimum), comporter des minuscules, des majuscules, des chiffres, au moins un caractère spécial (tiret, point, parenthèses…). Encore plus important : ne jamais choisir de mots du dictionnaire et des informations évidentes tels que le prénom d’un des enfants, une date de naissance, le nom de jeune fille et ainsi de suite.
Commentaires (46)
#1
La double authentification, il n’y a que ça de vrai !
#2
“Le mot de passe principal doit être assez long (huit caractères au strict minimum), comporter des minuscules, des majuscules, des chiffres, au moins un caractère spécial (tiret, point, parenthèses…).”
Il me semble justement que la création d’un Apple ID est assez pointue à ce niveau (dans le sens ou Apple n’accepte pas les mots de passe trop simples).
Après c’est vrai que la question du “comment ils ont récupérés les identifiants” est assez inquiétante. En espérant que Apple communique vite fait là dessus, et surtout qu’elle corrige la faille éventuelle.
#3
#4
#5
C’est une super idée, les iUsers sont tellement habitués à payer pour rien qu’ils vont prendre ce message pour un truc normal et vont une fois de plus raquer. Le mec va se faire mass pognons.
" />
#6
Une appli sur ton tél (1 seule appli par titulaire sur 1 seul appareil).
" />
Un MDP sur l’appli.
Tu te connectes sur le web sur HSBC.
La tu donnes un code unique 11 chiffres.
Puis une question secrète.
Puis tu prends ton tél et tu entre ton code secret spécial tél.
La tu demandes un jeton unique. Tu as 30 secondes pour le rentrer sur la page web.
Un virement ? Ok : en plus, tu demandes un code unique pour une opération…
Appli perdue ? Un service spécial 0800 surfacturé pour tout réinitialiser.
La procédure d’initialisation de l’application prend 20 minutes avec le tél. en main et le navigateur.
Pas de 3G, pas de chocolat
Edith : @WereWindle
#7
#8
#9
#10
Le problème des mots est dans tous les cas aussi classique que dangereux.
certes
edit: oubliez ce que j’ai dit svp, merci
#11
#12
bientot le piratage de compte nextinpact : si tu veux récupérer ton compte, fais moi un paiement de 150 dollars sur paypal
" />
#13
#14
Considérant qu’on sait que les iphone ont au moins une fonctionnalité d’espionnage cachée nommée dropoutjeep pour la NSA, il en existe probablement d’autres, peut-être que ces pirates ont trouvé une méthode pour s’en servir ?
#15
#16
#17
#18
#19
#20
#21
#22
Le mot de passe principal doit être assez long (huit caractères au strict minimum), comporter des minuscules, des majuscules, des chiffres, au moins un caractère spécial (tiret, point, parenthèses…).
La passphrase, rien de plus sécurisé et simple à mémoriser, tout en étant possible de la rendre complexe à deviner. XKCD en parle ici.
#23
#24
#25
#26
#27
#28
Donc d’après ce que tu dis, Apple n’a pas les hash des mots de passes mais les mots de passes eux même et en fait commerce ?
Non!
Ce que je dis, c’est qu’à partir du moment où une donnée (quel qu’elle soit et quel que soit sa forme) est sur une machine autre que la tienne, cette donnée est accèssible par celui qui l’ héberge.
De plus, si les systèmes de sécurité, en particulier lorsqu’ils sont mis en place de façon aussi “fine” (sic) comme on a pu le voir ces dernière années (les exemples ne manque pas) ne sont finalement que de faibles barricades pour “Mr tout le monde” pas pour des spécialistes et encore moins pour des infrastructures tel que les géants du web qui ont la puissance de calcul.
La sécurité ainsi que l’anonymat sur le net n’est qu’ illusion.
N’oublions pas que la plupart du temps, on fait du Minitel 2.0 (modèle kiosque) et pas de l’Internet comme il a été conçu à la base.
#29
azertyuiop
#30
Hello, I’m a PC.
Hello, I’m a Mac, I mean… I’m a man, Inside your Mac… No, I’m not Steve Jobs but, yes, I want your money too.
Switch… [cut]
#31
#32
#33
honnetement plutot que de devoir faire ajouter des caracteres speciaux, des chiffres des lettres des majuscules et minuscules, qu’on nous permette de mettre des mots de passe tres long genre “je ne sais pas quoi mettre comme mot de passe alors en voila un”
et oui des mots banal meme pas la moindre majuscule et encore moins d’accents.
sauf que il fait 63 ou 64 caracteres de long…
donc 26^64 possibilites.
un dico de mots ???
meme en connaissant le nombre de mots la langue francaise usuelle contient plusieurs dizaines de mots mais meme en considerant 3500 a 5000 mots courants on obitent seulement 3500^14.
alors avant de casser ca en force brute… et au moins c’est vahcmenet plus facile a se souvenir que GT64!x3$47ek
#34
#35
#36
#37
“Le mot de passe principal doit être assez long (huit caractères au strict minimum), comporter des minuscules, des majuscules, des chiffres, au moins un caractère spécial (tiret, point, parenthèses…). Encore plus important : ne jamais choisir de mots du dictionnaire et des informations évidentes tels que le prénom d’un des enfants, une date de naissance, le nom de jeune fille et ainsi de suite.”
" />
NON NON et NON !!
Il faut arrêter avec ces conseils à la con. Pour que ce genre de conseil soit suffisant, il faut des mot de passe totalement aléatoires et pas du 3L77t speak, qui augmente que d’un bit ou 2, la sécurité.
Hashcat peut faire 8 milliards de tentatives par seconde, pour trouver un mot de passe.https://en.wikipedia.org/wiki/Hashcat
[img]https://sslimgs.xkcd.com/comics/password_strength.png[/img]
Si vous voulez un mot de passe qui déchire prenez _au hasard_ entre 5 et 8 mots du dictionnaire. Genre vous ouvrez un dictionnaire et vous pointez un mot avec le doigt. Pas besoin de symbole à la con, que vous oubliez en 5 minutes.
5 c’est pour lutter contre les hacker, 8 c’est plus contre la NSA.
#38
#39
#40
#41
#42
#43
#44
#45
Apple a répondu. En gros, elle dit aux utilisateurs d’arrêter d’être des cancres et d’utiliser le même mot de passe partout parce que iCloud n’a pas été compromis.
http://www.zdnet.com/icloud-not-compromised-in-apple-id-attack-apple-7000029914/
#46
Hello,
Juste un mot pour dire :
1/ Apple est plutôt relou pour les MDP, qui doivent avoir une longueur minimale + au moins une majuscule + au moins 2 chiffres…. + double authentification etc etc. Je ne sais pas ce qu’il s’est dit plus haut, mais je crois bien que le pb n’est pas là
2/ Voilà ce qu’il se dit ailleurs, et il faut reconnaître qu’il y a une désolante mais forte probabilité : “Selon un expert de sécurité interrogé par le quotidien australien, le hacker a pu récupérer les mots de passe des utilisateurs au cours de précédentes cyberattaques, comme celle d’eBay la semaine dernière ou celle d’AOL en avril. Et comme les internautes se servent souvent du même mot de passe pour sécuriser différents comptes, il lui a été facile de bloquer les comptes iCloud des imprudents.”