L’affaire des photos dénudées des célébrités américaines a fait grand bruit et Apple a rapidement été pointé du doigt pour la sécurité défaillante de ses comptes iCloud. Mais pour la firme, il n’y avait pas de problème de son côté, seulement une mauvaise utilisation. Ce qui ne l’empêche pas de prévoir des mesures supplémentaires.
La confiance dans le cloud
La publication de photos dénudées de dizaines de célébrités a mis l’accent sur un problème que nous avons abordé régulièrement dans nos colonnes : les avantages et inconvénients du cloud souverain. Confier une part grandissante de notre vie à un service de stockage distant, en vue de se simplifier la vie, mais sans nécessairement comprendre ce qu’il peut en coûter en cas de fuite, de faille ou de toute autre négative sur le service.
Lorsque les photos dénudées sont apparues, plusieurs pistes sont apparues. Le piratage de comptes iCloud, fournis par Apple avec ses iDevices et ses Mac, une faille dans le service d’authentification qui permettait de tenter de deviner le mot de passe avec un nombre illimité de tentatives, ou encore une faille dans Dropbox. Finalement, Cupertino avait fini par réagir pour indiquer, dans un premier temps, qu’elle menait l’enquête (tout comme le FBI), puis finalement qu’il n’y avait aucun problème particulier de son côté.
La frontière de la compréhension et de la conscience de l'utilisateur
La faille de sécurité écartée, il fallait quand même se poser la question : comment autant de comptes avaient-ils pu être piratés ? On ne le sait pas avec exactitude encore, mais un élément est en tout cas avéré : le ou les pirates ont pu deviner le mot de passe. Ce qui renvoie aux éternels conseils en la matière, à savoir éviter la réutilisation, augmenter la taille du mot de passe, utiliser aussi bien des majuscules que des minuscules, des chiffres et des caractères spéciaux, ne pas utiliser de mots du dictionnaire ou d’informations évidentes, et ainsi de suite.
Les entreprises impliquées dans le cloud ont alors deux solutions. Soit elles se bornent à répéter les mêmes conseils inlassablement et à rappeler l’existence de certaines fonctions (notamment l’authentification à deux facteurs), soit elles adoptent une attitude un peu plus proactive. Apple, qui s’apprête à lancer iOS 8 et plusieurs services liés à des données personnelles (santé et domotique) a choisi de passer à la seconde.
Notifications et obligation de l'authentification double dans certains cas
Tim Cook, PDG de la firme, a réagi aux récents évènements au cours d’une interview accordée au Wall Street Journal. Il y a confirmé que l’accès aux comptes était simplement le résultat de l’utilisation des bons identifiants. De fait, plusieurs changements vont être mis en place pour que les utilisateurs soient avertis dans tous les cas de certaines opérations.
Le PDG explique ainsi qu’Apple « alertera les utilisateurs par email ou notification push quand quelqu’un essaiera de changer le mot de passe du compte, de restaurer des données iCloud sur un nouvel appareil, ou quand un appareil se connectera au compte pour la première fois ».
En outre, l’utilisation de l’authentification à deux facteurs sera « élargie » et Apple en fera une plus ample promotion (ce qui ne sera pas difficile). Elle deviendra par exemple obligatoire pour toute connexion au compte iCloud sur un nouvel appareil. Un mouvement intéressant et qui aurait sans doute évité aux célébrités de voir leur vie privée ainsi exposée au grand jour.
Tim Cook déploie toute son empathie
Il est intéressant de constater également que Cook exprime certains regrets devant cette situation. Il estime qu’Apple aurait pu « faire avantage », notamment sur tout ce qui touche à la prise de conscience chez les utilisateurs. Il ne s’agit pas pour lui d’un « problème d’ingénierie », mais d’une « responsabilité », à voir donc à travers le prisme de l’humain.
Mais Tim Cook ne peut éviter la petite note d’empathie aux victimes : « Nous voulons faire tout ce que nous pouvons pour protéger nos clients, parce que nous sommes aussi révoltés qu’eux, si ce n’est davantage ». Difficile cependant d’imaginer que la direction d’Apple puisse se sentir plus « révoltée » que les propres victimes de ces piratages de comptes.
