Il abusait de la confiance de ses victimes pour accéder à leur compte et voler leurs photos.

Un Californien a plaidé coupable pour quatre crimes après s’être connecté à des milliers de comptes iCloud dans le but de voler et de partager des images de femmes nues. L’information a été confirmée par le Los Angeles Times.

L’homme incriminé, Hao Ku Chi, un homme âgé de 40 ans, a pu selon les autorités fédérales, s’introduire dans des milliers de comptes iCloud et accéder aux photos et vidéos d’au moins 306 victimes. Il en a créé une collection de 620.000 photos et de 9.000 vidéos qu’il a hébergés sur sa Dropbox, où il les organisait selon si le compte contenait ou non une « victoire », à savoir des photos dénudées. Beaucoup d’entre elles se sont retrouvées sur des sites pornographiques par la suite.

Il a également effectué près de 200 des piratages pour d’autres personnes qui voulaient ainsi également obtenir des photos de nus.

Pas de piratage complexe

Pour parvenir à ses fins, l’homme n’a pas utilisé de techniques de piratage élaborées, mais de l’ingénierie sociale, en abusant de la confiance de ses victimes. Il se faisait tout simplement passer pour un employé d’Apple et se présentait sous le pseudonyme « iCloudRipper4You », ce qui lui a permis d’obtenir l’accès aux comptes. Il n’y a donc pas eu de faille dans la sécurité d’iCloud.

Dans des documents judiciaires, le FBI a identifié deux adresses Gmail que Chi a utilisées pour inciter ses victimes à modifier leurs informations de connexion iCloud : « applebackupicloud » et « backupagenticloud ». Le FBI a déclaré avoir trouvé plus de 500.000 emails dans ces deux comptes, dont environ 4.700 avec des identifiants d’utilisateur et des mots de passe iCloud.

Il a été repéré en 2018, lorsqu’il a réussi à accéder au compte d’une célébrité (non identifiée) et que les images se sont retrouvées publiées sur un site pornographique. Les enquêteurs ont suivi la connexion iCloud jusqu’au domicile de Chi.

Chi a accepté de plaider coupable pour un chef d’accusation de conspiration en vue d’obtenir un accès non autorisé à un ordinateur et trois chefs d’accusation supplémentaires. Il risque jusqu’à cinq ans de prison pour chacun des chefs d’accusation.