Apple était-elle au courant d'une faille dans iCloud depuis six mois ?

Apple était-elle au courant d’une faille dans iCloud depuis six mois ?

Les victimes goûteraient assez peu l'ironie

Avatar de l'auteur
Vincent Hermann

Publié dans

Internet

29/09/2014 5 minutes
57

Apple était-elle au courant d'une faille dans iCloud depuis six mois ?

Il se pourrait bien finalement qu’une faille de sécurité soit à l’origine du « fappening » qui a vu la vie privée de dizaines de célébrités américaines étalée au grand jour avec de nombreuses photos dénudées. Un développeur anglais a en effet révélé qu’il avait averti Apple en mars dernier d’un problème assez sérieux.

20 000 mots de passe testés l'un après l'autre

Ibrahim Balic a communiqué au site The Daily Dot les détails de ses échanges avec la firme de Cupertino. On apprend ainsi qu’il a contacté Apple pour la première fois le 26 mars dernier. Il y informe les équipes de sécurité qu’une faille permet de déclencher des attaques par force brute contre le système d’authentification iCloud.

 

Ce genre de technique est en théorie impossible contre la grande majorité des services en ligne. Elle consiste à tenter de deviner le mot de passe d’un compte en testant des dizaines, voire des centaines de milliers de combinaisons. Mais normalement, chaque système est pourvu d’un verrouillage automatique en cas d’essais multiples. Ainsi, de la même manière qu’une carte de paiement se bloque après trois codes erronés, le système se verrouille après trois, cinq ou dix tentatives.

 

Dans le cas d’Apple, Balic avertissait cependant qu’il avait pu tester 20 000 mots de passe différents sur n’importe quel compte iCloud. Pour être certain que la firme avait bien vu le message d’ailleurs, il avait publié les détails de sa découverte dans l’outil maison servant justement à rapporter les bugs et accessible aux développeurs possédant un compte.

Apple était au courant, mais continuait de demander des détails 

Mais le 6 mai dernier, la faille n’était toujours pas corrigée. Selon Balic, Apple lui demandait toujours par email à cette date de fournir des détails supplémentaires. Il avait pourtant expliqué que les requêtes se faisaient en https vers iCloud via le paramètre « Autorisation » et le format de jeton d’authentification propre au service. Mais dans un mail, la firme estimait que sur la base des informations fournies, il apparaissait « qu’il faudrait un temps extrêmement long pour obtenir un jeton valide d’authentification d’un compte ». Apple insistait en demandant au chercheur s’il était en possession d’une méthode permettant d’obtenir ces jetons « dans un délai raisonnablement court ».

 

Et si cette histoire prend de l’importance maintenant, c’est que l’explosion de photos dénudées émanant de stars américaines a fait les unes des journaux, tout en pointant de nombreux doigts accusateurs vers Apple, et plus particulièrement iCloud. La firme a réagi à plusieurs reprises et une nouvelle section dédiée à la vie privée est même apparue sur le site officiel. Le PDG Tim Cook y expliquait notamment que la sécurité était un élément crucial pour Apple et que des améliorations allaient être mises en place. Dont acte : une connexion depuis un nouvel appareil provoque l’envoi d’un email d’avertissement et réclame une double authentification, dès lors que le compte a été mis à jour (la migration est toujours en cours).

Un rapport avec la brèche colmatée le 1er septembre ? 

Mais lorsque les premiers éléments de l’affaire sont apparus, il était question d’un script ayant justement la capacité de réaliser des attaques par force brute contre iCloud. Il était fonctionnel et The Next Web s’en était même servi avec succès. Cependant, quelques heures à peine après, il était devenu inopérant et Apple avait manifestement colmaté la brèche. La firme n’a cependant pas communiqué sur la question. D’ailleurs, quand elle a réagi sur l’affaire des photos volées, elle a simplement indiqué qu’elle menait l’enquête. Au terme de celle-ci, elle confirmait que des comptes avaient été compromis, mais qu’aucune faille de sécurité n’avait été découverte.

 

Difficile de savoir pour le moment si la faille clôturée par Apple le 1er septembre vers midi est celle qu’Ibrahim Balic avait mise en avant il y a maintenant six mois. Et s’il s’agit bien de celle-ci, il est pour l’instant délicat de définir si le ou les pirates s’en sont bien servis pour récupérer les mots de passe. Notez par ailleurs que si l’utilisation de cette faille devait se confirmer, cela n’expliquerait qu’une partie de l’affaire.

 

En effet, obtenir les mots de passe ne peut se faire que si l’on connait déjà l’adresse email servant d’identifiant pour le compte iCloud. Or, la publication des photos a montré que de nombreuses adresses étaient connues, ce qui pose la question : comment ont-elles été obtenues ? Plusieurs pistes existent, mais on peut imaginer par exemple qu’elles ont été récupérées depuis un fichier dérobé à un acteur tiers proposant un service quelconque.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

20 000 mots de passe testés l'un après l'autre

Apple était au courant, mais continuait de demander des détails 

Un rapport avec la brèche colmatée le 1er septembre ? 

Commentaires (57)


A mon avis la théorie de la fin de l’article est la bonne.



Après il est possible qu’Apple n’arrivait pas à reproduire l’anomalie de son côté, c’est des choses qui arrivent. Reste que ça pourrait faire franchement tâche par rapport à la communication actuelle de Tim Cook…


C’est acquis que le piratage des photos exploitent plusieurs pistes: piratage des emails, du cloud etc…



A mon avis, un paquet de photos viennent de PJ attachées à des emails.








Enyths a écrit :



A mon avis la théorie de la fin de l’article est la bonne.



Après il est possible qu’Apple n’arrivait pas à reproduire l’anomalie de son côté, c’est des choses qui arrivent. Reste que ça pourrait faire franchement tâche par rapport à la communication actuelle de Tim Cook…









Je ne suis pas sûr que le conditionnel soit adapté… Ça fait tâche.



Surtout quand on veut s’adresser au marché des entreprises.









Crysalide a écrit :



C’est acquis que le piratage des photos exploitent plusieurs pistes: piratage des emails, du cloud etc…



A mon avis, un paquet de photos viennent de PJ attachées à des emails.









Tu envoies des photos de toi à poil par email? <img data-src=" />



Je m’attendais à plus de commentaires sur

Apple était-elle au courant



<img data-src=" />








jinge a écrit :



Je m’attendais à plus de commentaires sur

<img data-src=" />







Apple est une entreprise, une compagnie, une société, ….une pomme <img data-src=" />









coket a écrit :



Tu envoies des photos de toi à poil par email? <img data-src=" />







Certains oui. C’est le cas du pédophile attrapé par les flics, qsuite à la dénonciation de Google.









coket a écrit :



Tu envoies des photos de toi à poil par email? <img data-src=" />





Tu débarques <img data-src=" />





coket a écrit :



Je ne suis pas sûr que le conditionnel soit adapté… Ça fait tâche.



Oui, certaines avec des taches,sans accent.<img data-src=" />









coket a écrit :



Tu envoies des photos de toi à poil par email? <img data-src=" />





<img data-src=" /> Certains le font, plus que tu penses.



Me regardez pas comme ça, je pratique pas ce genre de truc. Mais la connerie humaine est insondable…



La vérité c’est qu’â Hollywood pour connaître la gloire il faut donner son âme au diable et se soumettre à certains individus.

Toutes ces photos proviennent d’“un collectionneur”.

Se sont des clichés unique et inedits qui ont une très forte valeur sur le marché noir.

Elles sont à la base utilisé par les studios, le crime organisé etc… qui accumulent un maximum d’infos et documents pour contrôler les stars.



Hollywood, est une uine à rêve/cauchemard ou tous le monde travail son image, on ne couche pas avec une personne parce qu’on l’aime et qu’elle est attentionné, on couche avec un carnet d’adresse pour intégrer un cercle. On ne fait pas du sport et de la chirurgie esthétique pour se sentir bien dans son corps, mais pour obtenir un contrat.

Etc…

L’empire Hollywood, est une machine qui fabrique des blockbusters à 100 millions de dollars dans des studios de plusieurs dizaines d’hectares. Un monde gangrené par la pédophilie, qui fabrique des stars en baterie. Il n’y a pas d’acteurs, chanteurs etc… mais des produits marketing formaté dans des écoles, qui apprend aux ados à chanter/jouer la comédie avant même de savoir écrire.

Les parents se saignent jusqu’à l’endettement dans l’espoir que leurs enfants deviennent un jour Bankable.



Ils les laissent pour la plus part, en toute connaissance de cause, entre les mains de pervers aux moeurs peu reluisantes, qui sévissent en toute impunité dans cet industrie pédophile ultra-codifié depuis des décennies !

Renseignez vous je n’invente rien, toute l’entreprise Walt Disney Company est infesté, sans parler de Polanski, Spielberg, Joel Schumacher etc….

Un nombre incommensurable d’enfants stars ont été abusés.

Des gars comme Macaulay Culkin, Edward Furlong, Brad Renfro, River Phoenix, Corey Feldman etc…



http://www.dailymotion.com/video/xkk4q5_corey-feldman-la-pedophilie-a-hollywood_…








psn00ps a écrit :



Oui, certaines avec des taches,sans accent.<img data-src=" />









Pardon… trop de tâches en cours <img data-src=" />









coket a écrit :



Pardon… trop de tâches en cours <img data-src=" />





Surtout avec du “fappening” <img data-src=" />









feuille_de_lune a écrit :



Surtout avec du “fappening” <img data-src=" />











<img data-src=" /><img data-src=" /><img data-src=" />



J’avais pas pensé à ça <img data-src=" />









coket a écrit :



<img data-src=" /><img data-src=" /><img data-src=" />

J’avais pas pensé à ça <img data-src=" />





Bizarrement au bureau, y a eu du téléchargement de films.

The Fappening et The Fappening 2 : le retour. <img data-src=" />









coket a écrit :



Tu envoies des photos de toi à poil par email? <img data-src=" />





Sachant que le MMS a un standard définissant une taille d’image limite assz faible, oui. Il est plus simple d’envoyer des photos de ses seins prises par son APN directement via email que MMS.









feuille_de_lune a écrit :



Surtout avec du “fappening” <img data-src=" />





En parlant de fappening et de cloud, un passage du dernier Big Bang Theory est assez cocasse <img data-src=" />









coket a écrit :



Tu envoies des photos de toi à poil par email? <img data-src=" />





Bah oui sachant que dans mon monde de Bisounours, la personne qui la reçoit est celle avec qui je vais rester toute ma vie car les cas de ruptures en mauvais termes cela n’existe pas…&nbsp;

D’ailleurs savoir que mon Ex pourrait un jour utiliser ces photos pour m’humilier est impossible à imaginer…



<img data-src=" />



Parfois la bêtise humaine est insondable…









ActionFighter a écrit :



En parlant de fappening et de cloud, un passage du dernier Big Bang Theory est assez cocasse <img data-src=" />





Nouvelle coupe de cheveux pour changer d’image ?&nbsp;<img data-src=" />









carbier a écrit :



Nouvelle coupe de cheveux pour changer d’image ?&nbsp;<img data-src=" />





L’épisode ayant surement été tourné avant la sortie des photos, cela ne peut pas être fait pour ne pas qu’on la reconnaisse sur les photos <img data-src=" />



:popcorn:








coket a écrit :



Tu envoies des photos de toi à poil par email? <img data-src=" />







Certains mettent des photos d’eux à poil sur le cloud ? <img data-src=" />









Mme_Michu a écrit :



Apple est une entreprise, une compagnie, une société, ….une pomme pourrie et vérolée <img data-src=" />







<img data-src=" />



S’il vous plaît quand même :P









sternet a écrit :



…… on ne couche pas avec une personne parce qu’on l’aime et qu’elle est attentionné, on couche avec un carnet d’adresse pour intégrer un cercle……







<img data-src=" />







<img data-src=" />









Crysalide a écrit :



Sachant que le MMS a un standard définissant une taille d’image limite assz faible, oui. Il est plus simple d’envoyer des photos de ses seins prises par son APN directement via email que MMS.







Des seins à poil??? <img data-src=" />









Bobmoutarde a écrit :



Certains mettent des photos d’eux à poil sur le cloud ? <img data-src=" />









Tu marques un point. On vit quand même dans un monde bizarre <img data-src=" />



Les gens ont ce qu’ ils ont voulut: des millions d’ applis disponibles, un système user friendly du genre clickodrome, une facilité d’ utilisation sans aucune connaissance ou de minimum de pré-requis, un OS qui décide par défaut et à leur place ce qui doit être fait etc…



Peut être que la prochaine génération sera moins intéressée par des megapixels supplémentaires ou l’ image véhiculée par leur objet et un peu plus, par la sécurité, l’ apprentissage des réglages d’ un téléphone ou simplement le bon sens commun en matière d’ utilisation des nouveaux moyens de communications…



(Perso, un OS qui apparemment retient les mots de passe pour les proposer dans toutes les saisies suivantes au clavier comme un simple mot usuel stocké dans le dictionnaire, cela me paraît tout sauf secure et cela, sans avoir fait des études d’ informatique.



Je souhaite vraiment que la Pomme se reprenne un peu en main parce que ces derniers temps, c’ est un peu la foire au trolls chez eux).


Perso, dès qu’un soft, un navigateur, une appli, me demande de mémoriser mon MdP, je réponds “non” …








john san a écrit :



:popcorn:





Tu parles du contenu de l’article en lui-même ou le fait qu’on ait pu partir d’une faille dans un service de cloud et arriver à Walt Disney rempli de pédphiles, le tout en 10 commentaires ?









Bill2 a écrit :



Perso, dès qu’un soft, un navigateur, une appli, me demande de mémoriser mon MdP, je réponds “non” …







+1. C’est ce que je recommande à tout le monde.



Après, c’est l’éternel débat sur les systèmes proprios fermés et leurs inconvénients que l’on peut relancer, au passage…





Perso, dès qu’un soft, un navigateur, une appli, me demande de mémoriser mon MdP, je réponds “non” …



Le problème c’ est qu’ ici il (le système intégré à l’ OS (Quicktype) ne demande pas de le mémoriser mais le retiens de facto pour le proposer dans n’ importe quel frappe comme un simple mot du dictionnaire (ce qui signifie que le mot de passe n’ est pas chiffré dans le téléphone et est en clair quelque part…)



http://www.macbidouille.com/news/2014/09/26/quicktype-revele-vos-mots-de-passe-s…



Si cela est avéré, c’ est quand même “une erreur” de sécurité quand même fortement stupide.








Commentaire_supprime a écrit :



+1. C’est ce que je recommande à tout le monde.



Après, c’est l’éternel débat sur les systèmes proprios fermés et leurs inconvénients que l’on peut relancer, au passage…





Non c’est bon on a ce qu’il faut avec la news Bash <img data-src=" />









atomusk a écrit :



Non c’est bon on a ce qu’il faut avec la news Bash <img data-src=" />







Comme j’ai autre chose à faire au boulot, que je pars tôt ce soir parce que j’ai mes courses à faire et que Niktareum n’est pas là, promis, j’arrête.



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />









sternet a écrit :











Testimus unus, testimus nullus.



<img data-src=" />









carbier a écrit :



Nouvelle coupe de cheveux pour changer d’image ?&nbsp;<img data-src=" />





En même temps, c’est pas trop ses cheveux qui doivent être les plus regardés sur ses photos <img data-src=" />





mais qu’aucune faille de sécurité n’avait été découverte



Ce qui est vrai, ils la connaissaient déjà <img data-src=" /> , ce ne fut donc pas une découverte <img data-src=" />


Une faille dans le cloud, ce n’est pas ce que l’on appel habituellement une éclaircie ? <img data-src=" />








coket a écrit :



Des seins à poil??? <img data-src=" />





Peut-être la femme de chewbacca: Mallatobuck.<img data-src=" />









sternet a écrit :











Le problème dans ces “affirmations”, c’est qu’elles sont très vagues et ne désignent rien ni personne.

On n’est pas ici dans une posture de dénigrement ou de critiques mais d’accusation de faits pénalement graves et répréhensibles. De fait, il est nécessaire d’être clair, net et précis, il ne doit pas y avoir d’ambiguïtés possibles.

Tout le contraire de ce reportage qui n’arrange rien.



Les personnes victimes de ce genre d’abus doivent porter plainte. Même sans preuve un témoignage peut permettre d’éviter d’autres abus ou permettre à d’autres personnes de parler.





on peut imaginer par exemple qu’elles ont été récupérées depuis un fichier dérobé à un acteur tiers proposant un service quelconque.





Alors il faudrait que ce soit un acteur capable de faire le lien entre une personnalité connu et son adresse mail et ayant clairement différenciée cette adresse, il faudrait aussi que toutes ces personnes soient effectivement inscrites à ce service.

Ca limite grandement le potentiel des possibles (oui je sais).

Les meilleurs candidats seraient twiter et facebook alors? Ou apple avec son fichier VIP…








amikuns a écrit :



Peut-être la femme de chewbacca: Mallatobuck.<img data-src=" />









Je pensais à Conchita Wurst perso… mais ça se défend aussi <img data-src=" />









js2082 a écrit :



Le problème dans ces “affirmations”, c’est qu’elles sont très vagues et ne désignent rien ni personne.

On n’est pas ici dans une posture de dénigrement ou de critiques mais d’accusation de faits pénalement graves et répréhensibles. De fait, il est nécessaire d’être clair, net et précis, il ne doit pas y avoir d’ambiguïtés possibles.

Tout le contraire de ce reportage qui n’arrange rien.



Les personnes victimes de ce genre d’abus doivent porter plainte. Même sans preuve un témoignage peut permettre d’éviter d’autres abus ou permettre à d’autres personnes de parler.







en même temps son post commence par “la vérité c’est que” … tu pouvais arrêter directement ici,tu pouvais être certain que rien n’en sortirait.









Tim-timmy a écrit :



en même temps son post commence par “la vérité c’est que” … tu pouvais arrêter directement ici,tu pouvais être certain que rien n’en sortirait.





La vérité c’est que tu as raison.









flamwolf a écrit :



Alors il faudrait que ce soit un acteur capable de faire le lien entre une personnalité connu et son adresse mail et ayant clairement différenciée cette adresse, il faudrait aussi que toutes ces personnes soient effectivement inscrites à ce service.

Ca limite grandement le potentiel des possibles (oui je sais).

Les meilleurs candidats seraient twiter et facebook alors? Ou apple avec son fichier VIP…





Ça pourrait être aussi le fichier client d’un grand palace <img data-src=" />









ActionFighter a écrit :



En parlant de fappening et de cloud, un passage du dernier Big Bang Theory est assez cocasse <img data-src=" />





Arf … pas de balise “spoiler” sur NXi, faudrait penser à le mettre dans le message :/









brazomyna a écrit :



Tu parles du contenu de l’article en lui-même ou le fait qu’on ait pu partir d’une faille dans un service de cloud et arriver à Walt Disney rempli de pédphiles, le tout en 10 commentaires ?







Le popcorn, c’est pour tout ce qui va s’en suivre dans les 2 prochaines semaines :)









carbier a écrit :



Nouvelle coupe de cheveux pour changer d’image ?&nbsp;<img data-src=" />





Ou d’humeur.

En cas de blues, un relooking et hop ! On repart du bon pied <img data-src=" />









Koxinga22 a écrit :



Arf … pas de balise “spoiler” sur NXi, faudrait penser à le mettre dans le message :/





Je pensais qu’indiquer que ça venait du “dernier” TBBT suffirait <img data-src=" />









ActionFighter a écrit :



Je pensais qu’indiquer que ça venait du “dernier” TBBT suffirait <img data-src=" />





t’es pas équipé pour “penser”… Arrêtes ! tu embarasses tout le monde <img data-src=" />

(mais oui : j’allais répondre le même argument que toi <img data-src=" /> )









Koxinga22 a écrit :



Ou d’humeur.

En cas de blues, un relooking et hop ! On repart du bon pied <img data-src=" />





En même voilà la fille… elle se marie et divorce tout les 6 mois environ. <img data-src=" />









ActionFighter a écrit :



Je pensais qu’indiquer que ça venait du “dernier” TBBT suffirait <img data-src=" />





Ouais, j’ai pas été malin : pour moi la série était finie et je me souvenais pas qu’on parle de cloud pour le dernier de la saison 7 donc je suis allé voir.

Après c’est la coupe de Penny qui m’a fait lire tout le truc <img data-src=" />





Difficile de savoir pour le moment si la faille clôturée par Apple le …”





on ne “clôture” pas une faille, <img data-src=" /> on la colmate









Tolor a écrit :



En même temps, c’est pas trop ses cheveux qui doivent être les plus regardés sur ses photos <img data-src=" />





Tss Tss Perso je ne regarde que ses yeux… <img data-src=" />



une troisième fournée de fapenning a eu lieu ce week end mais cette fois personne n’en parle <img data-src=" />








WereWindle a écrit :



t’es pas équipé pour “penser”… Arrêtes ! tu embarasses tout le monde <img data-src=" />





<img data-src=" />







Koxinga22 a écrit :



Ouais, j’ai pas été malin : pour moi la série était finie et je me souvenais pas qu’on parle de cloud pour le dernier de la saison 7 donc je suis allé voir.

Après c’est la coupe de Penny qui m’a fait lire tout le truc <img data-src=" />





T’es sûr que tu ne manques pas d’r’ ? <img data-src=" />









cyri11e a écrit :



on ne “clôture” pas une faille, <img data-src=" /> on la colmate





Pritchard ?





sicqo a écrit :



une troisième fournée de fapenning a eu lieu ce week end mais cette fois personne n’en parle <img data-src=" />





L’effet EmmaYourNext peut être ?





ActionFighter a écrit :



T’es sûr que tu ne manques pas d’r’ ? <img data-src=" />





<img data-src=" /> <img data-src=" /> <img data-src=" />









sicqo a écrit :



une troisième fournée de fapenning a eu lieu ce week end mais cette fois personne n’en parle <img data-src=" />







normal









canti a écrit :



normal





fair enough <img data-src=" />