#Fappening : la faute à une faille iCloud colmatée dans la journée ?

Password1, Princess1, P@ssw0rd, Passw0rd...
Internet 2 min
#Fappening : la faute à une faille iCloud colmatée dans la journée ?
Crédits : AAAAA> AAAAAAA/iStock/Thinkstock

Alors que l’on ne sait pas encore d’où proviennent exactement les photos de célébrités dénudées que nous abordions ce matin dans nos colonnes (#Fappening), la piste iCloud s’étoffe alors même que celle de Dropbox semble tout aussi crédible. Il se pourrait en effet que le pirate ait profité d’une faille de sécurité dans le service « Find My iPhone ».

Selon The Next Web, un script rédigé en Python fait parler de lui depuis aujourd’hui. Apparu sur Github, il exploite une faille dans le service de localisation des iPhone pour attaquer la procédure d’authentification des comptes iCloud en force brute. Ce qui consiste tout simplement à essayer tous les mots de passe possibles en suivant un schéma d’évolution. Normalement, tout système d’identification (un tant soit peu bien fait) ne dispose que d’un nombre limité de tentatives, avant de bloquer le compte.

 

C’est bien sûr là qu’intervient la faille puisqu’elle permet de tenter sa chance un nombre illimité de fois. « Permettait » est en fait plus exact. Nos confrères se sont en effet entretenus avec l’auteur du script, qui a précisé qu’à compter de 12h20 aujourd’hui, son outil avait cessé de fonctionner. Il s’agit selon lui de la preuve qu’Apple s’est rendu compte de la brèche et l’a donc colmatée. D’ailleurs, lors de ses tests l'équipe de The Next Web indique que le compte a été verrouillé après les cinq tentatives seulement.

 

icloud faille find iphone

 

L’auteur, Hackapp, a expliqué par ailleurs que ce type de vulnérabilité était particulièrement courant dès lors qu’une entreprise proposait des interfaces multiples connectées à un service d’authentification. Il suffit de quelques connaissances selon lui pour les découvrir et arriver à les exploiter.

 

Mais quel rapport avec les photos dénudées des célébrités ? L’outil, ou une variante, aurait pu être utilisé pour s’attaquer aux comptes iCloud de ces personnes. Ce qui suppose évidemment que les adresses des comptes aient été connues. Une possibilité qu’admet en tout cas Hackapp : « je n’en ai vu aucune preuve, mais j’imagine que quelqu’un a pu utiliser cet outil ». Difficile pour le moment d’en savoir davantage. Apple a par ailleurs refusé de s’exprimer sur le sujet.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !