Une faiblesse de la fonction “Localiser mon iPhone” aurait été exploitée par un hacker pour pirater des comptes iCloud.
Depuis hier, un hacker diffuse des photos intimes de nombreuses célébrités américaines, obtenues semble-t-il via leur compte iCloud. Cependant, le mode opératoire exact du pirate est pour le moment inconnu : on ne sait pas comment il a repéré les identifiants de ses victimes, ni comment il a fait pour forcer la sécurité d’Apple. Cependant, le site Thenextweb.com tient une hypothèse assez crédible pour expliquer ce qui s’est passé. En cause : une vulnérabilité de la fonction de localisation des appareils connectés au Cloud, grâce à laquelle le hacker aurait récupéré les mots de passe des stars.
Il y a quelques jours est apparu sur le site Github les codes d’un programme nommé iBrute : d’après ses développeurs, un bug dans la fonction “Localiser mon iPhone” rendait les défenses du logiciel inefficace contre les attaques de type “bruteforce”, c’est-à-dire des tentatives de piratage où le hacker utilise très rapidement une multitude de possibles mots de passe à la suite, jusqu’à ce que l’un d’eux marche. Avec leur programme, il devenait donc très facile de trouver les mots de passe d’un compte s’ils sont faibles (on ne le répétera jamais assez : n’utilisez jamais “123456” comme mot de passe). A partir du moment où le hacker obtient le mot de passe du compte d’un utilisateur, il peut avoir accès à son AppleID, et donc à son compte iCloud, où il récupère les photos de son choix, et les moyens de contacter d’autres personnes qui deviendront ses victimes suivantes. On imagine ainsi facilement comment le hacker aurait pu, à partir d’une adresse e-mail d’une personne travaillant dans le cinéma ou la musique, obtenir les identifiants d’une soixantaine de célébrités américaines et avoir accès à leurs photos personnelles.
Nous n’avons pas encore de réponse officielle d’Apple à ce sujet, ni même la confirmation que le pirate soit effectivement passé par iCloud. Cependant, plus tôt dans la journée, la firme californienne aurait renforcé la sécurité de “Localiser mon iPhone”, rendant iBrute inefficace pour de futures attaques.
Diane Berger (St.)
_
Suivez Belgium-iphone sur Facebook, Youtube et Instagram pour ne rien rater de l'actu, des tests et bons plans.
Recevez nos dernières infos directement sur votre WhatsApp en vous abonnant à notre chaine.