Il se pourrait bien finalement qu’une faille de sécurité soit à l’origine du « fappening » qui a vu la vie privée de dizaines de célébrités américaines étalée au grand jour avec de nombreuses photos dénudées. Un développeur anglais a en effet révélé qu’il avait averti Apple en mars dernier d’un problème assez sérieux.
20 000 mots de passe testés l'un après l'autre
Ibrahim Balic a communiqué au site The Daily Dot les détails de ses échanges avec la firme de Cupertino. On apprend ainsi qu’il a contacté Apple pour la première fois le 26 mars dernier. Il y informe les équipes de sécurité qu’une faille permet de déclencher des attaques par force brute contre le système d’authentification iCloud.
Ce genre de technique est en théorie impossible contre la grande majorité des services en ligne. Elle consiste à tenter de deviner le mot de passe d’un compte en testant des dizaines, voire des centaines de milliers de combinaisons. Mais normalement, chaque système est pourvu d’un verrouillage automatique en cas d’essais multiples. Ainsi, de la même manière qu’une carte de paiement se bloque après trois codes erronés, le système se verrouille après trois, cinq ou dix tentatives.
Dans le cas d’Apple, Balic avertissait cependant qu’il avait pu tester 20 000 mots de passe différents sur n’importe quel compte iCloud. Pour être certain que la firme avait bien vu le message d’ailleurs, il avait publié les détails de sa découverte dans l’outil maison servant justement à rapporter les bugs et accessible aux développeurs possédant un compte.
Apple était au courant, mais continuait de demander des détails
Mais le 6 mai dernier, la faille n’était toujours pas corrigée. Selon Balic, Apple lui demandait toujours par email à cette date de fournir des détails supplémentaires. Il avait pourtant expliqué que les requêtes se faisaient en https vers iCloud via le paramètre « Autorisation » et le format de jeton d’authentification propre au service. Mais dans un mail, la firme estimait que sur la base des informations fournies, il apparaissait « qu’il faudrait un temps extrêmement long pour obtenir un jeton valide d’authentification d’un compte ». Apple insistait en demandant au chercheur s’il était en possession d’une méthode permettant d’obtenir ces jetons « dans un délai raisonnablement court ».
Et si cette histoire prend de l’importance maintenant, c’est que l’explosion de photos dénudées émanant de stars américaines a fait les unes des journaux, tout en pointant de nombreux doigts accusateurs vers Apple, et plus particulièrement iCloud. La firme a réagi à plusieurs reprises et une nouvelle section dédiée à la vie privée est même apparue sur le site officiel. Le PDG Tim Cook y expliquait notamment que la sécurité était un élément crucial pour Apple et que des améliorations allaient être mises en place. Dont acte : une connexion depuis un nouvel appareil provoque l’envoi d’un email d’avertissement et réclame une double authentification, dès lors que le compte a été mis à jour (la migration est toujours en cours).
Un rapport avec la brèche colmatée le 1er septembre ?
Mais lorsque les premiers éléments de l’affaire sont apparus, il était question d’un script ayant justement la capacité de réaliser des attaques par force brute contre iCloud. Il était fonctionnel et The Next Web s’en était même servi avec succès. Cependant, quelques heures à peine après, il était devenu inopérant et Apple avait manifestement colmaté la brèche. La firme n’a cependant pas communiqué sur la question. D’ailleurs, quand elle a réagi sur l’affaire des photos volées, elle a simplement indiqué qu’elle menait l’enquête. Au terme de celle-ci, elle confirmait que des comptes avaient été compromis, mais qu’aucune faille de sécurité n’avait été découverte.
Difficile de savoir pour le moment si la faille clôturée par Apple le 1er septembre vers midi est celle qu’Ibrahim Balic avait mise en avant il y a maintenant six mois. Et s’il s’agit bien de celle-ci, il est pour l’instant délicat de définir si le ou les pirates s’en sont bien servis pour récupérer les mots de passe. Notez par ailleurs que si l’utilisation de cette faille devait se confirmer, cela n’expliquerait qu’une partie de l’affaire.
En effet, obtenir les mots de passe ne peut se faire que si l’on connait déjà l’adresse email servant d’identifiant pour le compte iCloud. Or, la publication des photos a montré que de nombreuses adresses étaient connues, ce qui pose la question : comment ont-elles été obtenues ? Plusieurs pistes existent, mais on peut imaginer par exemple qu’elles ont été récupérées depuis un fichier dérobé à un acteur tiers proposant un service quelconque.
