Apple promet de nouveaux mécanismes de sécurité pour protéger iCloud

Apple promet de nouveaux mécanismes de sécurité pour protéger iCloud

Amende un peu trop honorable

Avatar de l'auteur
Vincent Hermann

Publié dans

Internet

05/09/2014 4 minutes
32

Apple promet de nouveaux mécanismes de sécurité pour protéger iCloud

L’affaire des photos dénudées des célébrités américaines a fait grand bruit et Apple a rapidement été pointé du doigt pour la sécurité défaillante de ses comptes iCloud. Mais pour la firme, il n’y avait pas de problème de son côté, seulement une mauvaise utilisation. Ce qui ne l’empêche pas de prévoir des mesures supplémentaires.

La confiance dans le cloud

La publication de photos dénudées de dizaines de célébrités a mis l’accent sur un problème que nous avons abordé régulièrement dans nos colonnes : les avantages et inconvénients du cloud souverain. Confier une part grandissante de notre vie à un service de stockage distant, en vue de se simplifier la vie, mais sans nécessairement comprendre ce qu’il peut en coûter en cas de fuite, de faille ou de toute autre négative sur le service.

 

Lorsque les photos dénudées sont apparues, plusieurs pistes sont apparues. Le piratage de comptes iCloud, fournis par Apple avec ses iDevices et ses Mac, une faille dans le service d’authentification qui permettait de tenter de deviner le mot de passe avec un nombre illimité de tentatives, ou encore une faille dans Dropbox. Finalement, Cupertino avait fini par réagir pour indiquer, dans un premier temps, qu’elle menait l’enquête (tout comme le FBI), puis finalement qu’il n’y avait aucun problème particulier de son côté.

La frontière de la compréhension et de la conscience de l'utilisateur 

La faille de sécurité écartée, il fallait quand même se poser la question : comment autant de comptes avaient-ils pu être piratés ? On ne le sait pas avec exactitude encore, mais un élément est en tout cas avéré : le ou les pirates ont pu deviner le mot de passe. Ce qui renvoie aux éternels conseils en la matière, à savoir éviter la réutilisation, augmenter la taille du mot de passe, utiliser aussi bien des majuscules que des minuscules, des chiffres et des caractères spéciaux, ne pas utiliser de mots du dictionnaire ou d’informations évidentes, et ainsi de suite.

 

Les entreprises impliquées dans le cloud ont alors deux solutions. Soit elles se bornent à répéter les mêmes conseils inlassablement et à rappeler l’existence de certaines fonctions (notamment l’authentification à deux facteurs), soit elles adoptent une attitude un peu plus proactive. Apple, qui s’apprête à lancer iOS 8 et plusieurs services liés à des données personnelles (santé et domotique) a choisi de passer à la seconde.

Notifications et obligation de l'authentification double dans certains cas 

Tim Cook, PDG de la firme, a réagi aux récents évènements au cours d’une interview accordée au Wall Street Journal. Il y a confirmé que l’accès aux comptes était simplement le résultat de l’utilisation des bons identifiants. De fait, plusieurs changements vont être mis en place pour que les utilisateurs soient avertis dans tous les cas de certaines opérations.

 

Le PDG explique ainsi qu’Apple « alertera les utilisateurs par email ou notification push quand quelqu’un essaiera de changer le mot de passe du compte, de restaurer des données iCloud sur un nouvel appareil, ou quand un appareil se connectera au compte pour la première fois ».

 

En outre, l’utilisation de l’authentification à deux facteurs sera « élargie » et Apple en fera une plus  ample promotion (ce qui ne sera pas difficile). Elle deviendra par exemple obligatoire pour toute connexion au compte iCloud sur un nouvel appareil. Un mouvement intéressant et qui aurait sans doute évité aux célébrités de voir leur vie privée ainsi exposée au grand jour.

Tim Cook déploie toute son empathie 

Il est intéressant de constater également que Cook exprime certains regrets devant cette situation. Il estime qu’Apple aurait pu « faire avantage », notamment sur tout ce qui touche à la prise de conscience chez les utilisateurs. Il ne s’agit pas pour lui d’un « problème d’ingénierie », mais d’une « responsabilité », à voir donc à travers le prisme de l’humain.

 

Mais Tim Cook ne peut éviter la petite note d’empathie aux victimes : « Nous voulons faire tout ce que nous pouvons pour protéger nos clients, parce que nous sommes aussi révoltés qu’eux, si ce n’est davantage ». Difficile cependant d’imaginer que la direction d’Apple puisse se sentir plus « révoltée » que les propres victimes de ces piratages de comptes.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

La confiance dans le cloud

La frontière de la compréhension et de la conscience de l'utilisateur 

Notifications et obligation de l'authentification double dans certains cas 

Tim Cook déploie toute son empathie 

Commentaires (32)






Apple promet



<img data-src=" />


Pour les comptes de Cloud il faut imposer des mots de passe complexe à la création, c’est à dire un mdp d’au minimum 12 caractères qui doit comprendre au moins 2 chiffes et un symbole (+=*/;#;$).


J’aimerais avoir une liste des sites et services Web qui proposent la 2FA (Two-factor authentication) ce que vous appelez la double authentification.



Par exemple j’ai rien trouvé pour Paypal alors que certains disent que c’est possible.


Apple a toujours réussi à cacher ses comportements abusifs ainsi que ses carences, lacunes et autres désastres sécuritaires derrière une image indestructible et des soutiens dénués de toute objectivité des utilisateurs, medias, politiques et autres experts !

Ce qui serait une affaire d’état chez les autres se transforme systématiquement en bonne blague potache chez eux… réglée d’une simple déclaration dans la presse prise pour argent comptant !

Ça laisse pensif…


Trop tard…



Le mal est fait: rien de tel qu’un bon gros fait divers pour que l’image de quelque chose (ici le cloud) soit affectée pour longtemps.



J’ai vu pas mal de personnes autour de moi venir me poser des questions à ce sujet, alors qu’elles s’en foutaient jusqu’alors (et non ce n’était pas pour voir les photos <img data-src=" />).








Danytime a écrit :



Pour les comptes de Cloud il faut imposer des mots de passe complexe à la création, c’est à dire un mdp d’au minimum 12 caractères qui doit comprendre au moins 2 chiffes et un symbole (+=*/;#;$).





Je doute qu’imposer des chiffres soit si efficace que ça. Mais surtout, qu’ils ne fassent pas l’erreur de mettre un maximum ridicule au mot de passe. Genre, si c’est minimum 12 caractères, mais maximum 20, ça force à nouveau les gens à faire des mdp horriblement durs à retenir.









AlphaBeta a écrit :



Apple a toujours réussi à cacher ses comportements abusifs ainsi que ses carences, lacunes et autres désastres sécuritaires derrière une image indestructible et des soutiens dénués de toute objectivité des utilisateurs, medias, politiques et autres experts !

Ce qui serait une affaire d’état chez les autres se transforme systématiquement en bonne blague potache chez eux… réglée d’une simple déclaration dans la presse prise pour argent comptant !

Ça laisse pensif…





mais c’est quand même pas de la faute d’Apple si les utilisateurs ont des mots de passe qui sont facile à deviner.



Puis de toutes façons c’est vraiment valable pour les stars, qui va vouloir pirater le compte de mme michu?



Ils ont tout de même corrigé une faille…



Deux secondes sur Google.




Mais pour la firme, il n’y avait pas de problème de son côté, seulement une mauvaise utilisation.



Genre il est totalement imprévisible qu’un outil soit mal utilisé.

<img data-src=" />








illidanPowa a écrit :



Puis de toutes façons c’est vraiment valable pour les stars, qui va vouloir pirater le compte de mme michu?





Plus de gens que tu ne l’imagine…



C’est pas la complexité du mot de passe le véritable problème.



Le problème c’est le fait que c’est toujours le même mot de passe qui est utilisé de partout.

Ou qu’il différent de quelques caractères en fonction du services.



Exemple :

P@\(w0rd*Goo pour Google

P@\)
w0rd*App pour Apple

P@\(w0rd*Mic pour Microsoft



Sans connaitre le mot de passe de Paypal, je peux en déduire qu'il sera : P@\)
w0rd*Pay



Donc c’est pas fiable.

Mais c’est moins grave que d’utiliser le même mot de passe de partout.









illidanPowa a écrit :



mais c’est quand même pas de la faute d’Apple si les utilisateurs ont des mots de passe qui sont facile à deviner.



Puis de toutes façons c’est vraiment valable pour les stars, qui va vouloir pirater le compte de mme michu?







Bel exemple de soutien absolu…. c’est pas la faute à Apple, c’est la faute aux utilisateurs…. <img data-src=" />

Le pb avec le icloud d’apple et les materiels aossicés sans parler des pubs c’est que les utilisateurs ne sont absoluement pas informés des risques…. icloud est present” comme l’extension “obligatoire” et naturelle des materiels proprietaires comme itunes.

Tu veux du apple, tu dois utiliser icloud c’est by design… c’est techniquement presque vrai tellement la liaison est integrée et le message anbigu et dénué d’informations reelles !









Winderly a écrit :



Genre il est totalement imprévisible qu’un outil soit mal utilisé.

<img data-src=" />





bah oui regarde les problèmes d’antenne que subissaient ses clients sur un précédent modèle : c’était de leur faute, ils tenaient mal leur appareil !









illidanPowa a écrit :



mais c’est quand même pas de la faute d’Apple si les utilisateurs ont des mots de passe qui sont facile à deviner.



Puis de toutes façons c’est vraiment valable pour les stars, qui va vouloir pirater le compte de mme michu?





Pas mal de gens, en fait. T’as entendu parler du nouveau type de chantage, consistant à chiffrer tout le pc de la victime et lui faire payer la clé? Imagine alors que le hacker remplace tous les fichier du compte par une version infectée par un trojan qui fait le chiffrage. Lorsque la victime vient alors consulter une photo, pour peu qu’elle ne se méfie pas de petits changements de taille, ou d’extension si elle n’est pas cachée (merci microsoft de cacher l’extension par défaut. tous les hackers te remercient), paf! Le piège se referme.



/popcorn



Pour mater les trolls anti et pro apple <img data-src=" />

C’est bien parti déjà…








illidanPowa a écrit :



mais c’est quand même pas de la faute d’Apple si les utilisateurs ont des mots de passe qui sont facile à deviner.



Puis de toutes façons c’est vraiment valable pour les stars, qui va vouloir pirater le compte de mme michu?





Et la faille du système de localisation de ton iPhone (par laquelle ont été compromis les différetns comptes à priori) connue depuis au moins 7 mouis (!!!) et qu’Apple n’aie rien fait avant lundi dernier ?



Excuse mais la …









illidanPowa a écrit :



mais c’est quand même pas de la faute d’Apple si les utilisateurs ont des mots de passe qui sont facile à deviner.







C’est toujours pas clair cette histoire.

Un dictionnaire de mot de passe, même simple, en contient déjà plusieurs milliers.

Donc, cela veut dire que les hackers ont pu testers les plusieurs milliers de mot de passe incognito ?

Si c’est cas, c’est déjà une faille de sécurité en soit.



Mais j’avais plutôt entendu quelque chose de plus crédible, concernant les “Question de sécurité” pour récupérer son mot de passe.

Il parait qu’Apple utilise toujours ce mécanisme complètement dépassé d’authentification. Et ça, c’est une grosse faille de sécurité.



Donc dire qu’Apple n’a aucune faille de sécurité est abusif.



Une comparaison avec OneDrive et Google Drive aurait été sympa.








arno53 a écrit :



Une comparaison avec OneDrive et Google Drive aurait été sympa.





<img data-src=" />



Franchement, hier je voulais activer l’authentification à 2 niveaux mais en gros, si tu perds la clé générée à l’activation, Apple ne peut rien faire pour t’aider…. super :(



Sinon il paraît qu’avec l’iPhone 6, il y aura une révolution en matière de sécurité ;)








john san a écrit :



Sinon il paraît qu’avec l’iPhone 6, il y aura une révolution en matière de sécurité ;)





<img data-src=" />



Il y aura toujours des problèmes avec les mots de passe. La double authentification marche parce qu’elle ne fait pas appel à un deuxième mot de passe, mais à la technique d’un code envoyé sur un terminal de confiance. Pour pirater un compte, il faut donc être en possession de cet appareil de confiance, c’est-à-dire l’avoir dérobé ou emprunté physiquement. Plus de piratage à distance possible, la question est réglée.



Du coup pourquoi maintenir la gestion d’un mot de passe ? On peut très bien sans passer.


La sécurité des comptes ça passe encore au dessus de la tête des gens :



Je travaille dans un cybercafé. Je vois donc passer ce genre de problème tous les jours (vraiment).



Quand les gens sont devant la case pour créer le mot de passe, c’est l’apocalypse.



Pire : en ce moment Hotmail Outlook et Yahoo sont entrain de faire revoir à ses utilisateurs tous les paramètres de sécurité (mot de passe, question secrète, email de secours, tél portable pour 2FA). Si ils le font pas, ils sont bloqués en dehors de leur boite . A chaque fois je suis obligé de leur expliquer le pourquoi et ce qu’ils ont a faire.





  • Oh que c’est compliqué ! Et je vais pouvoir accéder a mon mail?

  • Oui, Madame, mais revenez dans 30 jours pour finaliser les informations de sécurité.

    (version TRÈS raccourcie pour vous)



    Les explications quant à la question de sécurité étant trop succincte, ils ont du mal a appréhender le concept.

    Conséquence : mots de passe courts, et réponse à la question trop courte. (“ca suffit pas 4 chiffres?”)



    Les failles, y en a eu, y en aura toujours. Du coté utilisateur il y a clairement un problème d’éducation de la part des sociétés proposant ces services.








cc_skarn a écrit :



La sécurité des comptes ça passe encore au dessus de la tête des gens :







Les failles, y en a eu, y en aura toujours. Du coté utilisateur il y a clairement un problème d’éducation de la part des sociétés proposant ces services.







Non ce n’est pas un probleme d’education… en tout cas pas simplement

C’est d’abord, un probleme de comportement des gens… je ne veux pas m’embeter acec ca, j’ai autre chose à penser…. blah blah blah

Leur cloud ne leur semble pas aussi materiel que leur appart et leur porte blindée











AlphaBeta a écrit :



Bel exemple de soutien absolu…. c’est pas la faute à Apple, c’est la faute aux utilisateurs…. <img data-src=" />

Le pb avec le icloud d’apple et les materiels aossicés sans parler des pubs c’est que les utilisateurs ne sont absoluement pas informés des risques…. icloud est present” comme l’extension “obligatoire” et naturelle des materiels proprietaires comme itunes.

Tu veux du apple, tu dois utiliser icloud c’est by design… c’est techniquement presque vrai tellement la liaison est integrée et le message anbigu et dénué d’informations reelles !





icloud n’est pas obligatoire loin de là….. il le présente à l’install mais c’est tout, on te force pas à le mettre toutes les 5 minutes et tu peux t’en passer sans problème.



A un moment faut arrêter de dire n’importe quoi.



Les gens sont devenus tellement bête qu’il faut leur tenir la main comme des enfants. Ils ne réfléchissent à aucun moment à la portée de leurs actes : résultat ils font confiance aveugle à Apple qui doit les protéger même de leur bêtise.



Désolé mais moi perso icloud ou pas, je laisserais pas des photos de moi “critiques” dans mon tél. c’est une question de bon sens.









vloz a écrit :



<img data-src=" />







Le PDG explique ainsi qu’Apple « alertera les utilisateurs par email ou notification push quand quelqu’un essaiera de changer le mot de passe du compte, de restaurer des données iCloud sur un nouvel appareil, ou quand un appareil se connectera au compte pour la première fois ».



En outre, l’utilisation de l’authentification à deux facteurs sera « élargie » et Apple en fera une plus ample promotion (ce qui ne sera pas difficile). Elle deviendra par exemple obligatoire pour toute connexion au compte iCloud sur un nouvel appareil.



Sur certain de ces points j’imagine que Google et Microsoft en ont déjà mis en place ou est ce qu’il reste des choses a améliorer ?



Toute cette histoire n’explique pas pourquoi on retrouve des éléments de dropbox.



Même si ce sont des sauvegardes Icloud des iphones (limités à 5Go dans la version gratuite), tout dropbox n’est pas dans le téléphone. Et toutes les photos ne peuvent pas être stockées dans la sauvegarde Icloud (manque de place avec les 5Go offerts).

Il ne me semble pas pertinent qu’elles aient acheté du stockage en plus (sans chercher à savoir pourquoi elles avaient ces sollicitations d’upgrade de la part de leur iphone ?)



Si c’est le flux photo qui a été volé sur Icloud, pourquoi y-a-t-il des vidéos (exclues du flux). Il faut savoir aussi que les photos sont gardées 30 jours.



Et qu’en est-il de celles qui avaient autre chose qu’un Iphone ?

Il y a un super focus sur Apple, c’est à se demander pourquoi (9 Septembre ??)


Entre cette diffusion de célébrité nue (certain diront que la seul différence c’est la qualité de la caméra) et l’affaire Snowdenn, j’espère que ça refroidira certain dans la centralisation mondiale des données dans une poignée d’endroit.









arno53 a écrit :



Une comparaison avec OneDrive et Google Drive aurait été sympa.





OneDrive : aucun soucis, personne ne l’utilise.









Rphl a écrit :



Toute cette histoire n’explique pas pourquoi on retrouve des éléments de dropbox.[…]





L’affaire est un chouïa plus complexe. Pour faire simple, les personnes (a priori elles seraient plusieurs) qui ont lâchés les photos faisaient partie d’un réseau de “collectionneurs” et de crackers qui existait depuis plusieurs année. Du coup les sources sont multiples, mais iCloud serait la principale car d’après ce que j’ai compris, il était possible de facilement forcebrutter (sûrement avec dico) les mots de passe via le service pour retrouver son téléphone. Les mecs avait donc un accès direct à toutes les photos prises par le téléphone des demoiselles.

Ceci explique aussi que certaines photos se sont retrouvées dans les lots diffusés alors qu’elles étaient, d’après les intéressées, supprimées depuis longtemps.

voir cette article pour plus de détail :http://www.theverge.com/2014/9/4/6106363/celebgate-fappening-naked-nude-celebrit…



Merci pour le lien <img data-src=" />




Mais pour la firme, il n’y avait pas de problème de son côté, seulement une mauvaise utilisation.



Bah tiens.

Délocaliser ses données hors de son contrôle exclusif, en soi c’est un facteur de risque qui augmente, donc une probabilité de souci et de problèmes qui augmente aussi.



Vendre un service qui augmente un risque, c’est indirectement être un peu responsable aussi de ce risque accru…


Avantages et gros inconvénients ? <img data-src=" />