Malgré la probabilité du piratage d’un ou plusieurs comptes Dropbox, c’est la piste iCloud qui semble remporter les suffrages dans la recherche d’une explication aux photos dénudées volées à des dizaines de célébrités féminines. Le FBI et Apple ont d’ailleurs annoncé enquêter sur le sujet.
La piste iCloud privilégiée pour l'instant
Dimanche, des dizaines de femmes célèbres ont vu leur intimité exposée au grand jour après qu’un individu, qui n’a pour l’instant pas été identifié, a publié de nombreuses photos dénudées. Un viol de la vie privée dénoncé notamment par l’actrice Mary Elizabeth Winstead et un porte-parole de Jennifer Lawrence, particulièrement touchée par la fuite des photos.
L’une des pistes pour expliquer la manière dont ces clichés ont été récupérés est une attaque des comptes iCloud des victimes. Les iPhone enregistrent en effet les photos prises dans le Flux de photos, permettant une récupération depuis d’autres appareils reliés au même compte. Si un tiers dispose du mot de passe, il peut donc facilement plonger dans la vie privée d’une personne. En outre, comme nous l’indiquions hier, on sait qu’une faille dans le service de localisation de l’iPhone, permettait jusqu’à peu de tenter de deviner le mot de passe d’un compte sans limite. Une attaque par force brute qui en temps normal est impossible car la sécurité du compte iCloud bloque l’accès au bout de cinq tentatives.
La piste iCloud semblait sérieuse, même après l’apparition d’éléments montrant que les clichés auraient pu venir de comptes Dropbox. À l’installation du client mobile, l’utilisateur se voit en effet demander s’il souhaite que ses photos soient automatiquement sauvegardées par Dropbox. Il s’agit donc d’un espace distant supplémentaire où on peut retrouver les images. Et puisque Dropbox dispose d’une fonction gardant en mémoire les modifications et suppressions de fichiers des trente derniers jours, le pirate aurait très bien pu s’en prendre à de tels comptes, potentiellement via une faille.
Apple et le FBI enquêtent sur l'affaire
Cependant, le piratage des comptes iCloud semble suffisamment sérieux à Apple pour qu’une porte-parole, Natalie Kerris, ait confirmé hier soir à Re/code que la situation était examinée de près : « Nous prenons très au sérieux la vie privée des utilisateurs et nous enquêtons activement sur ce signalement ». Il se pourrait donc bien que le problème soit lié à la faille colmatée hier et qui aurait pu en fait être exploitée pendant des mois, voire des années.
Le Los Angeles Times indique de son côté que le FBI enquête lui aussi sur cette affaire. Une porte-parole, Laura Eimiller, a ainsi indiqué : « Le FBI est au courant des accusations d’intrusions informatiques et de la diffusion illégale de documents impliquant de célèbres individus, et il s’occupe de l’affaire. Tout autre commentaire serait déplacé à ce stade ».
Et Apple a tout intérêt à se montrer proactive sur le sujet, et pour cause : pourquoi les utilisateurs iraient confier des données sensibles notamment sur leur santé à une entreprise qui ne protège déjà pas correctement les informations actuelles ? Apple est en effet sur le point de lancer son nouvel iPhone et la version 8 d’iOS qui proposera, entre autres, HealthKit. Ce dernier est une zone d’échange pour les données de santé émanant des applications et accessoires spécialisés, et on comprend aisément que la firme doive inspirer la confiance pour que le produit soit une réussite commerciale.
