Suite au piratage de comptes iCloud de dizaines de célébrités, Apple avait promis que certaines mesures seraient mises en place. Depuis hier, toute connexion vers un compte iCloud depuis un nouvel appareil se soldera par la réception d’un email pour avertir le possesseur de compte.
À la lumière de l’affaire des célébrités dont des dizaines de photos dénudées ont été envoyées sur la toile, Apple a annoncé que des protections supplémentaires seraient ajoutées à ses comptes iCloud. Ceux des célébrités ont probablement été piratés en devinant les mots de passe, mais il n’est pas impossible qu’une faille ait pu être utilisée afin de lancer des attaques par force brute.
Parmi les mesures envisagées, Apple vient d'ajouter une première fonctionnalité : prévenir l’utilisateur que ses identifiants ont été utilisés depuis une machine qui n’avait jamais servi auparavant, ou même un nouveau navigateur. La tester ne nous a d’ailleurs pas pris longtemps : nous avons simplement ouvert une fenêtre Chrome en mode Invité (équivalent à une installation neuve) et nous sommes connectés sur un compte. Peu de temps après, Apple envoyait un email pour avertir des détails de cette connexion.
La procédure est assez bruyante, parce que si l’on recommence la manipulation plusieurs fois, Apple enverra autant d’emails. La fonction mise en place est surtout destinée à ceux qui veulent savoir ce qui est fait de leur compte, désireux d'être avertis d’un accès depuis une machine qui ne leur appartient pas.
L’envoi de cet email peut certes être utile, mais la logique même retenue peut n’avoir strictement aucun effet en termes de sécurité. Si une personne étrangère possède le moyen de se connecter à un compte iCloud, il pourra supprimer l’email dès son arrivée. Si la manipulation est assez rapide, les appareils ne recevront peut-être même pas la notification de l’arrivée de cet email.
On remarquera cependant qu’il ne s’agit que d’une première étape. Plus important, Apple imposera bientôt une authentification à deux facteurs en cas de connexion, justement, depuis un appareil n’ayant jamais utilisé. Il sera dès lors beaucoup plus difficile pour un compte d’être piraté, même si aucune protection n’est absolue.