Pour Apple, la sécurité des comptes iCloud n’a pas été compromise

Apple a réagi à la vague de comptes iCloud actuellement compromis en Australie. Selon la firme, la sécurité de son service n’est pas mise en cause. Cependant, elle demande aux utilisateurs de changer leurs mots de passe et d’appliquer certaines règles élémentaires pour les sécuriser.

Prendre le contrôle des comptes et des fonctions de sécurité 

Hier, nous nous faisions l’écho d’un problème de sécurité touchant des utilisateurs de comptes iCloud en Australie. Des cas manifestes de piratages sont en effet apparus les derniers jours : des appareils iOS et des Mac se retrouvaient bloqués contre rançon. Le pirate, qui se présentait sous l’identité « Oleg Pliss », s’était débrouillé pour verrouiller les appareils avec un code PIN. En échange d’une somme allant de 50 à 100 dollars et payable via PayPal, il débloquait les machines.

Il était rapidement apparu que le pirate s’était directement servi des comptes iCloud pour verrouiller de cette manière. Ces comptes permettent en effet de réaliser plusieurs actions liées à la sécurité. Si un utilisateur se fait par exemple voler son iPhone, il peut se rendre sur iCloud.com et le localiser. Il pourra également le verrouiller avec un code, lui faire afficher un message, le faire sonner ou encore provoquer à distance l’effacement de ses données personnelles.

Pour Apple, le problème ne vient pas d'iCloud 

Et c’est justement le verrouillage par code qui semblait avoir été utilisé. Ce qui posait l’évidente question de la manière dont le pirate avait accédé aux comptes. Il fallait en effet obtenir une liste d’adresses en @me.com ou @icloud.com puis découvrir les mots de passe. De fait, une autre question venait ensuite : le pirate avait-il récupéré une liste sur un serveur préalablement attaqué ou les comptes d’Apple présentaient-ils un défaut de sécurité ?

Pour la firme de Cupertino, la réponse est claire : « Apple considère très sérieusement la sécurité et iCloud n’a pas été compromis durant cet incident. Les utilisateurs touchés devraient changer leur mot de passe Apple ID aussi vite que possible et éviter d’utiliser le même nom d’utilisateur et le même mot de passe sur de multiples services. Tout utilisateur qui a besoin d’aide supplémentaire peut contacter AppleCare ou se rendre à l’Apple Retail Store le plus proche ».

La sécurité des comptes iCloud n’a donc pas été compromise et le pirate aurait trouvé ses informations ailleurs. Cependant, la réponse d’Apple permet de rebondir sur un aspect important de la sécurité : la réutilisation des mots de passe. Comme nous le rappelions ce matin dans notre actualité sur le piratage d’Avast, la complexité des mots de passe n’est pas le seul critère à prendre en charge. En effet, plus un utilisateur réutilise le même mot, plus il a de chances d’être piraté.

Piratage ou capitalisation sur les mauvaises habitudes des utilisateurs ? 

Ce qui permet d’ailleurs d’envisager une hypothèse sur la manière dont ces pirates ont été réalisés. Sans parler de piratage d’un serveur ou autre, le pirate a potentiellement travaillé depuis d’autres comptes. Les utilisateurs ont souvent tendance à répéter le préfixe des adresses email pour se simplifier la vie, ce qui n’est d’ailleurs pas un problème. Mais s’ils ont réutilisé les mêmes mots de passe, il a suffi au pirate de repérer des comptes emails classiques, comme ceux de Microsoft, Google ou Yahoo, et de tenter sa chance en appliquant la formule « suffixe différent, mais mot de passe identique ».

L’explication de ce piratage intéresse d’ailleurs tout autant les victimes qui se rendent dans les forums officiels d’Apple pour en discuter. Alors que le nombre de cas se multiplie et que d’autres pays anglo-saxons comme les États-Unis, le Royaume-Uni et le Canada sont touchés, la discussion se penche davantage sur l’origine du problème et la part de responsabilité d’Apple.

On notera d’ailleurs que ces problèmes de sécurité et les discussions qui en découlent surviennent quelques jours avant la conférence d’ouverture de la WWDC, lundi soir. La firme y présentera, selon les rumeurs, un nouveau système domotique pour faire des appareils iOS de vraies télécommandes pour toute la maison.