En Chine, les possesseurs de comptes iCloud sont actuellement victimes d’une attaque à l’échelle du pays tout entier. Le site Greatfire.org, qui surveille les sites bloqués par le gouvernement chinois, accuse celui-ci d’être à l’origine de cette attaque globale. Quand bien même les autorités s’en défendent, cela n’a pas empêché d’Apple de publier rapidement une note indiquant aux utilisateurs comment maximiser la protection de leur compte.
Le gouvernement chinois s'en prendrait directement à iCloud
Greatfire.org a publié lundi un billet pour expliquer les détails d’une attaque inquiétante. Dirigée contre l’ensemble des utilisateurs de comptes iCloud, elle est de type « man-in-the-middle » et permet donc aux pirates de s’insérer entre une personne et le service auquel elle souhaite accéder. Dans le cas d’iCloud, l’objectif est de renvoyer l’utilisateur vers une fausse version du site iCloud.com, sur lequel la victime va chercher à se connecter, fournissant sans le savoir ses identifiants à l’attaquant.
Pour Greatfire, il ne fait aucun doute que l’attaque est menée par le gouvernement chinois, ou tout du moins sur son ordre. Le processus fait manifestement appel à de grandes ressources et se distingue par son ampleur. En outre, elle a commencé le jour de la commercialisation des nouveaux iPhone 6 et 6 Plus, alors qu’iOS 8 et son chiffrement renforcé des données se répand. On se rappelle d’ailleurs les propos du directeur du FBI qui ne voyait pas d’un bon œil cette sécurité renforcée. Par ailleurs, le site rappelle que des attaques du même genre ont déjà eu lieu contre Google, Yahoo et Microsoft.
iCloud.com permet d'accéder à de nombreuses données du compte
TechCrunch, pour sa part, soulève l’hypothèse d’une action menée dans un contexte bien précis : le soulèvement pro-démocratique qui a actuellement lieu à Hong-Kong. On rappellera en effet que le gouvernement chinois a déjà fait bloquer Instagram dans l’espoir de limiter la propagation rapide des photos du mouvement initié par le milieu étudiant. D’ailleurs, l’agence Reuters avait abordé le 30 septembre le cas d’un malware particulièrement sophistiqué, visant iOS et les manifestants.
iCloud.com concentre un nombre croissant de données personnelles
Le problème avec iCloud est que le service d’Apple concentre un nombre croissant de données. Les emails rattachés à l’adresse utilisée sont lisibles, de même que les contacts, la position des appareils, les évènements du calendrier, les notes, les rappels, tout ce qui est stocké dans iCloud Drive et même, depuis peu, les photos si la fonction iCloud Photos a été activée dans iOS 8.1. Réussir à dérober les identifiants permet donc d’observer un large pan de la vie privée d’une personne.
Ce qui fait dire à Greatfire qu’il est nécessaire pour les Chinois de s’équiper d’un navigateur sur lequel on peut compter, citant les exemples de Firefox et Chrome, qui avertiront l’utilisateur que le site visité semble malveillant. Le site conseille particulièrement de se méfier du navigateur Qihoo 360, qui se veut sécurisé mais qui charge directement la fausse page de connexion d’iCloud.com sans avertir l’utilisateur.
Apple explique comment se méfier des sites frauduleux
Apple a également réagi de son côté en publiant une note technique pour expliquer comment reconnaitre un site frauduleux. L’objectif pour l’utilisateur est de vérifier que le site possède bien un certificat valide, ce que n’importe quel navigateur peut vérifier. La firme de Cupertino aborde les cas de Safari évidemment, mais également de Chrome et Firefox, avec la manière de procéder pour vérifier la présence et les détails du certificat. Même s’ils ne sont cités, Opera et Internet Explorer rendent eux aussi ce genre de service.
Apple donne également des captures d’écran afin de montrer ce que le navigateur doit afficher quand le site visité parait louche. Le texte explicatif varie à chaque fois, mais informe toujours des dangers que le simple fait de continuer vers le site représente. Car sans certificat valide, le site ne peut prouver qu’il est bien ce qu’il est, et iCloud.com dispose de plusieurs certificats, délivrés par Symantec et Verisign. On notera que dans son billet, Apple ne cite pas expressément la Chine, mais indique simplement être au courant d’attaques en cours utilisant de faux certificats.
Sachez globalement que le conseil donné par Apple est applicable à tous les cas de ce genre : si vous vous rendez sur un site où vous devriez normalement entrer votre identifiant et votre mot de passe, et que le navigateur vous avertit d’un problème, ne donnez pas ces informations. Il ne peut en effet y avoir que deux explications : soit il s’agit d’un faux site, soit le détenteur légitime n’a pas renouvelé à temps son certificat, ce qui est assez peu probable. Mais dans le doute, mieux vaut s’abstenir.
