Hier soir, des dizaines des photos de femmes célèbres ont été diffusées un peu partout. Initialement apparues sur des comptes Twitter qui ont été depuis suspendus, ces images ont rapidement été copiées vers d’autres destinations, notamment 4chan. Elles auraient toutes été volées depuis d’authentiques comptes iCloud ou Dropbox piratés.
Des photos dénudées de dizaines de femmes célèbres
Plusieurs célébrités sont depuis hier soir sous le feu des projecteurs, mais sans doute pas de la manière dont elles l’auraient souhaité. Des photos entièrement dénudées de plusieurs dizaines de femmes célèbres, actrices, mannequins, chanteuses et autres, circulent désormais sur la Toile. Et parce qu’il s’agit justement d’Internet, les dégâts sur la vie privée risquent de perdurer longtemps.
Jennifer Lawrence, Kaley Cuoco, Kate Upton, Victoria Justice, Lea Michel, Ariana Grande, Brie Larson, Kirsten Dunst, Becca Tobin, Jessica Brown Findlay, Teresa Palmer, Kristen Ritter, Mary Elizabeth Winstead, McKayla Maroney ou encore Ali Michael sont autant de victimes de ce qui serait à la base une série d’attaques sur des comptes iCloud. C’est du moins ce qu’il ressort de plusieurs commentaires laissés par des utilisateurs anonymes sur 4chan.
Il pourrait s'agir d'un piratage des comptes iCloud ou Dropbox des victimes
Les photos ont été visibles pour la première fois hier et provoquent depuis une déferlante d’articles anglo-saxons. Selon Gawker cependant, les prémices avaient déjà été annoncées. Un utilisateur anonyme de 4chan s’était en effet vanté de posséder une large collection de photos dénudées de célébrités dont la publication commencerait dimanche. Dont acte. Il ne s’agirait cependant que d’une partie du stock, le pirate indiquant qu’il possède des vidéos dont il espère qu’elles seront monnayées via des bitcoins.
On ne sait pas s’il a reçu effectivement quelques unités de crypto-monnaie, mais un compte Twitter, désormais suspendu lui aussi, affirmait que l’auteur avait été contacté par TMZ, un site de presse à scandale, et s’était vu offrir une somme à six chiffres pour obtenir ces photos. Cependant, le même tweet annonçait que TMZ publierait 20 photos hier soir, ce qui n’a pas été fait… du moins pour l’instant.
Difficile en outre de savoir comment ces photos ont été volées en premier lieu. Certains utilisateurs de 4chan indiquent qu’il s’agissait de multiples piratages de comptes iCloud. Ces derniers, fournis par Apple comme clé de voute de la synchronisation de nombreux services, permet notamment sur iPhone, iPad et iPod Touch, d’enregistrer automatiquement les clichés pris dans un espace distant. Accéder au compte iCloud d’un utilisateur revient donc le plus souvent à fouiller dans ses photos. Mais rien ne prouve actuellement que des comptes iCloud ont bien été piratés, bien qu’il s’agisse d’une hypothèse crédible.
En fait, William Reymond, du Journal de Montréal, évoque de son côté une autre piste : Dropbox. Plusieurs informations font en effet référence au service de stockage distant, et on sait que les clients mobiles proposent une option pour enregistrer automatiquement les clichés pris depuis l'appareil photo intégré au smartphone. Selon Reymond, c'est une faille de sécurité qui aurait pu permettre de fouiller dans la poubelle des comptes, active pendant les trente jours qui suivent l'effacement d'un fichier, voire sans limite de temps quand on possède la bonne option.
Déjà plusieurs confirmations de l'authenticité des clichés
Plusieurs célébrités concernées ont également réagi. Un porte-parole de Jennifer Lawrence, l’une des plus touchées par ces fuites de photos, a ainsi indiqué à BuzzFeed qu’il s’agissait d’une « violation flagrante de la vie privée », tout en précisant que « les autorités ont été contactées et poursuivront toute personne qui publiera ces photos volées ». Une réaction qui confirme au passage l’authenticité des clichés. Du côté de Victoria Justice toutefois, ces clichés ne seraient que des faux.
Confirmation également de Mary Elizabeth Winstead qui affiche tout son dégout de la situation sur Twitter : « À ceux qui regardent les photos que j’ai prises avec mon mari il y a des années dans l’intimité de notre foyer, j’espère que vous êtes fiers de vous. Sachant que ces photos ont été effacées il y a longtemps, je ne peux qu’imaginer les efforts glauques qu’aura fallu pour en arriver là. Pensée à tous ceux qui ont été piratés ». Point intéressant, l’actrice indique que ces photos ont été effacées il y a longtemps, ce qui suggère une récupération déjà ancienne par le pirate.
Knowing those photos were deleted long ago, I can only imagine the creepy effort that went into this. Feeling for everyone who got hacked.
— Mary E. Winstead (@M_E_Winstead) 31 Août 2014
Mais si une partie des photos est d’ores et déjà confirmée comme authentique, toutes n’ont pas été publiées. La liste est longue, et comme l’indique le DailyMail, plusieurs célébrités ont réagi pour indiquer qu’elles n’étaient pas concernées par cette fuite, telles que Michelle Keegan, Keke Palmer ou encore Gabi Grecko. Mais il ne s’agit peut-être que d’une question de temps.
Comme le précise The Verge, un verdict particulièrement sévère pourrait attendre l’auteur de ces fuites s’il était retrouvé. Le site rappelle qu’en 2012, un homme a été condamné à dix ans de prison pour avoir piraté les comptes email de plusieurs célébrités, dont Scarlett Johanson et Mila Kunis.
La sécurité beaucoup trop faible de certains comptes
Cet incident rappelle à quel point la sécurité des comptes est aujourd’hui un enjeu capital. La simplicité d’utilisation ne doit pas être une excuse à la négation des règles de base concernant, par exemple, la création des mots de passe. Car si le pirate n’a pas eu accès physiquement aux smartphones ou n’a pas reçu les clichés depuis un tiers de « confiance » dans l’entourage des personnes ciblées, c’est qu’un mot de passe a été forcé ou qu'une faille a été utilisée.
Quand on connait l’importance aujourd’hui des comptes Apple, Microsoft, Google ou encore Dropbox (pour ne citer que ceux-là), on comprend l’intérêt de suivre des règles cruciales : ne pas utiliser de mots du dictionnaire, ne pas utiliser d’informations trop évidentes (dates d’anniversaire, nom de jeune fille, etc.), utiliser des majuscules et des minuscules, insérer des chiffres et des caractères spéciaux, et surtout créer un mot de passe qui soit assez long. S'il était avéré qu'il s'agit bien de comptes iCloud ou Dropox piratés, cela aurait évité aux célébrités de vivre un remake un peu trop réel du film Sex Tape.
