En Australie, plusieurs personnes ont vu leur Mac ou leur appareil iOS être bloqué. Une attaque permettant à l’auteur de réclamer une rançon de 100 dollars en moyenne pour retrouver l’usage de l’appareil. Explications.
Des appareils iOS et des Mac bloqués contre rançon
Le site The Age rapporte que plusieurs utilisateurs de produits Apple ont été victimes d’une attaque un peu particulière, mais simple dans son concept. Le pirate, qui se présente sous l’appellation Oleg Pliss, bloque l’appareil et demande une somme d'argent allant de 50 à 100 dollars. Il s’agit ni plus ni moins que d’une rançon pour retrouver l’usage de son appareil.
En, l’espace de quelques jours, les forums officiels d’Apple se sont remplis de témoignages pour décrire le problème. Ici, on peut ainsi voir un utilisateur expliquant que le message est arrivé sur son iPad, mais que son iPhone affichant lui aussi la demande de rançon. Cette dernière devait par ailleurs être envoyée via PayPal vers un compte Hotmail spécifique. D’autres témoignages font état de cas similaires avec les Mac.
Des comptes iCloud compromis
Quel est le point commun entre tous ces appareils ? Les utilisateurs auraient-ils été victimes de malwares pouvant affecter à la fois OS X et iOS ? L’explication est beaucoup plus simple : le ou les pirates se sont servis des comptes iCloud.
Le compte, réclamé par Apple pour valider les achats sur iTunes et l’App Store, s’accompagne de mesures de sécurité. Nous en avons parlé plusieurs fois récemment dans nos colonnes à la faveur de plusieurs lois votées aux États-Unis pour obliger les constructeurs de smartphones à équiper leurs produits de protections contre le vol. iCloud, tout comme les comptes Microsoft et Google, donnent accès à des fonctionnalités permettant de :
- Bloquer le téléphone à distance via un code
- Trouver sa localisation s’il est allumé
- Faire afficher un message particulier sur l’écran
- Provoquer une sonnerie spéciale
- Effacer ses données à distance
Et c’est bien de piratage de compte iCloud que l’on parle, puisque le pirate, une fois en possession des identifiants, peut accéder aux fonctionnalités que nous venons de citer. Il peut ainsi déclencher le blocage des appareils liés au compte et, puisqu’il est maître du compte, ne pas rendre son contrôle avant d’avoir été payé.
Notez que les appareils configurés avec un code de verrouillage ne peuvent pas être affectés par le problème. En effet, c’est par ce biais que le pirate bloque les appareils, mais un code ne peut pas être ajouté à distance si l’utilisateur en a déjà configuré un. En outre, cette prise de contrôle ne peut pas se faire si l’authentification en deux étapes a été activée dans le compte iCloud.
La question de l'obtention des identifiants
Car la vraie question qui demeure est : comment le pirate a-t-il pu prendre possession de ces comptes ? La multiplication des cas tend en effet à indiquer qu’il possède une liste de comptes auxquels s’attaquer, sans doute en tâchant de deviner les mots de passe. Ce qui soulève évidemment le problème de la complexité de ces derniers, sur laquelle nous reviendrons. Selon MacG, cette liste de comptes pourrait être une conséquence d’une série de problèmes avec les sites d’Apple, dont certains comportaient des failles de sécurité importantes. Il pourrait également s’agir du piratage préalable d’un serveur en vue d’en récupérer
Le problème semble pour le moment circonscrit à l’Australie, mais ceux qui sont affectés n’ont pour le moment pas d’autres choix que de contacter Apple. D’après plusieurs témoignages, la firme prend le problème très au sérieux mais n’a pas réellement de solution pour le moment. Les opérateurs de téléphonie australiens, concernés de près, ont également promis de revenir vers les utilisateurs touchés prochainement.
La question des mots de passe est dans tous les cas aussi classique que dangereux. Pour protéger un compte aussi sensible qu’iCloud, qui synchronise des données, sauvegarde des photos et débloque les achats, il faut donc mettre en place une protection idoine. Le mot de passe principal doit être assez long (huit caractères au strict minimum), comporter des minuscules, des majuscules, des chiffres, au moins un caractère spécial (tiret, point, parenthèses…). Encore plus important : ne jamais choisir de mots du dictionnaire et des informations évidentes tels que le prénom d’un des enfants, une date de naissance, le nom de jeune fille et ainsi de suite.
