Suite au piratage de comptes iCloud de dizaines de célébrités, Apple avait promis que certaines mesures seraient mises en place. Depuis hier, toute connexion vers un compte iCloud depuis un nouvel appareil se soldera par la réception d’un email pour avertir le possesseur de compte.
À la lumière de l’affaire des célébrités dont des dizaines de photos dénudées ont été envoyées sur la toile, Apple a annoncé que des protections supplémentaires seraient ajoutées à ses comptes iCloud. Ceux des célébrités ont probablement été piratés en devinant les mots de passe, mais il n’est pas impossible qu’une faille ait pu être utilisée afin de lancer des attaques par force brute.
Parmi les mesures envisagées, Apple vient d'ajouter une première fonctionnalité : prévenir l’utilisateur que ses identifiants ont été utilisés depuis une machine qui n’avait jamais servi auparavant, ou même un nouveau navigateur. La tester ne nous a d’ailleurs pas pris longtemps : nous avons simplement ouvert une fenêtre Chrome en mode Invité (équivalent à une installation neuve) et nous sommes connectés sur un compte. Peu de temps après, Apple envoyait un email pour avertir des détails de cette connexion.
La procédure est assez bruyante, parce que si l’on recommence la manipulation plusieurs fois, Apple enverra autant d’emails. La fonction mise en place est surtout destinée à ceux qui veulent savoir ce qui est fait de leur compte, désireux d'être avertis d’un accès depuis une machine qui ne leur appartient pas.
L’envoi de cet email peut certes être utile, mais la logique même retenue peut n’avoir strictement aucun effet en termes de sécurité. Si une personne étrangère possède le moyen de se connecter à un compte iCloud, il pourra supprimer l’email dès son arrivée. Si la manipulation est assez rapide, les appareils ne recevront peut-être même pas la notification de l’arrivée de cet email.
On remarquera cependant qu’il ne s’agit que d’une première étape. Plus important, Apple imposera bientôt une authentification à deux facteurs en cas de connexion, justement, depuis un appareil n’ayant jamais utilisé. Il sera dès lors beaucoup plus difficile pour un compte d’être piraté, même si aucune protection n’est absolue.
Commentaires (54)
#1
" />
Merci pour tous ceux qui se connectent en mode privé….
C’est un peu comme cette mesure à la * de devoir informer les utilisateurs que le site utilise les cookies… Quand on est en mode privé, ça casse les pieds à chaque fois!
#2
Tentative pour contrer le shitstorm ?
#3
Nouvelle règle pour la spambox en perspective.
#4
#5
Plus important, Apple imposera bientôt une authentification à deux facteurs en cas de connexion
..histoire de gratter ton numéro de téléphone des fois que t’aies pas déjà acheté un iPhone..
Leyananas.
#6
#7
“Chère/Cher Jennifer Lawrence,
Votre identifiant Apple ([email protected]) à été utilisé lors d’une connexion à iCloud à partir d’un navigateur web ….”
Et bis repetita " />
c’est pratique, maintenant les actrices ne se feront plus simplement voler les photos et vidéos sexy, elles seront d’avance au courant que quelqu’un les as " />
#8
#9
#10
#11
#12
#13
#14
L’envoi de cet email peut certes être utile, mais la logique même retenue peut n’avoir strictement aucun effet en termes de sécurité. .
Complètement. Du coup, sans être nul, l’intérêt n’est pas bien épais.
Coucou lo Coucou Paleynas.
#15
#16
La meilleure protection est de désactiver l’envoi automatique vers icloud et de ne faire que des transferts que chez soi sur une machine non connecté à internet.
#17
#18
Au moins, les piratés pourront lancer les DMCA dès la réception du mail, ce sera ça de gagné " />
ActionLeynas.
#19
Ca c’est une très bonne idée: maintenant on peut tenter de fisher avec un faux mail d’Apple signalant une connexion. C’est très malin de leur part.
#20
#21
#22
Ce mail va sans doute provoquer un joli appeau à phishing!!! Ce côté systématique et proposer le lien de réinitialisation du MDP dans le mail, c’est juste c..!
" />
#23
#24
#25
#26
#27
#28
#29
Ce genre de truc existe déjà sur Gmail. Sur Steam il me semble qu’en cas de connexion depuis une nouvelle machine un email est envoyé, et il faut autoriser la nouvelle machine pour que la connexion soit acceptée…
Apple devrait prendre exemple sur l’existant au lieu d’essayer de ré-inventer la roue en moins bien (mais avec une pomme dessus).
Konas
#30
#31
#32
#33
#34
#35
#36
#37
#38
D’ailleurs je viens de recevoir un spam ce matin:
“lTUNES
Chère/Cher Client ,
Votre identifiant Apple a été utilisé pour se connecter à iCloud et iMessage à partir d’un iPhone 5 appelé .
Si vous n’avez pas récemment configuré un iPhone avec votre identifiant Apple, il serait plus sûr de suivre
ces étapes en cliquant ci-dessous : Cliquez ici
L’assistance Apple”
Sauf que je n’ai pas pas de compte Apple… " />
#39
#40
#41
#42
WHOAW! X14 Leynas.
" /> MEGA COMBOT BREA !! BREAK !! BEEEAAKKER !
" />
C’est beaucoup trop bien parti pour que ça s’arrête comme ça ! Vous êtes les meilleurs !
Leynas.
#43
#44
Ça change pas grand chose au final… Seul la double authentification peut vraiment sécurisé ce type de stockage distant même si c’est parfois contraignant…
Les NAS
#45
#46
Si une personne étrangère possède le moyen de se connecter à un compte iCloud, il pourra supprimer l’email dès son arrivée
QUE si le hacker a aussi le mot de passe de son acces email et que ce dernier est pas securisé… Ya pas mal d’email ou on peut demander que les appareil inconu soient validé par sms ….
donc pour se faire hacker son icloud + son email faut vraiment VOULOIR
#47
#48
#49
il n’est pas impossible qu’une faille ait pu être utilisée afin de lancer des attaques par force brute.
Bah, pourquoi ne pas faire des directives au bout de 3 authentifications résultant un échec ? Blocage du compte pour de nouvelles connexions / envoie d’un email pour en référer à l’utilisateur / autre ? Ou au moins mettre une sécurité supplémentaire si la connexion est illogique (exemple : un indou qui tente de se connecter (même avec succès) sur un compte d’un finlandais se voit refuser l’accès). De mémoire, Google utilise déjà cette technique depuis un bon moment.
Parce que là c’est clair que c’est assez mal pensé, pour ne pas dire que ça ne sert à rien.
Stroovoleynas.
#50
#51
#52
#53
#54