En Chine, les possesseurs de comptes iCloud sont actuellement victimes d’une attaque à l’échelle du pays tout entier. Le site Greatfire.org, qui surveille les sites bloqués par le gouvernement chinois, accuse celui-ci d’être à l’origine de cette attaque globale. Quand bien même les autorités s’en défendent, cela n’a pas empêché d’Apple de publier rapidement une note indiquant aux utilisateurs comment maximiser la protection de leur compte.
Le gouvernement chinois s'en prendrait directement à iCloud
Greatfire.org a publié lundi un billet pour expliquer les détails d’une attaque inquiétante. Dirigée contre l’ensemble des utilisateurs de comptes iCloud, elle est de type « man-in-the-middle » et permet donc aux pirates de s’insérer entre une personne et le service auquel elle souhaite accéder. Dans le cas d’iCloud, l’objectif est de renvoyer l’utilisateur vers une fausse version du site iCloud.com, sur lequel la victime va chercher à se connecter, fournissant sans le savoir ses identifiants à l’attaquant.
Pour Greatfire, il ne fait aucun doute que l’attaque est menée par le gouvernement chinois, ou tout du moins sur son ordre. Le processus fait manifestement appel à de grandes ressources et se distingue par son ampleur. En outre, elle a commencé le jour de la commercialisation des nouveaux iPhone 6 et 6 Plus, alors qu’iOS 8 et son chiffrement renforcé des données se répand. On se rappelle d’ailleurs les propos du directeur du FBI qui ne voyait pas d’un bon œil cette sécurité renforcée. Par ailleurs, le site rappelle que des attaques du même genre ont déjà eu lieu contre Google, Yahoo et Microsoft.
iCloud.com permet d'accéder à de nombreuses données du compte
TechCrunch, pour sa part, soulève l’hypothèse d’une action menée dans un contexte bien précis : le soulèvement pro-démocratique qui a actuellement lieu à Hong-Kong. On rappellera en effet que le gouvernement chinois a déjà fait bloquer Instagram dans l’espoir de limiter la propagation rapide des photos du mouvement initié par le milieu étudiant. D’ailleurs, l’agence Reuters avait abordé le 30 septembre le cas d’un malware particulièrement sophistiqué, visant iOS et les manifestants.
iCloud.com concentre un nombre croissant de données personnelles
Le problème avec iCloud est que le service d’Apple concentre un nombre croissant de données. Les emails rattachés à l’adresse utilisée sont lisibles, de même que les contacts, la position des appareils, les évènements du calendrier, les notes, les rappels, tout ce qui est stocké dans iCloud Drive et même, depuis peu, les photos si la fonction iCloud Photos a été activée dans iOS 8.1. Réussir à dérober les identifiants permet donc d’observer un large pan de la vie privée d’une personne.
Ce qui fait dire à Greatfire qu’il est nécessaire pour les Chinois de s’équiper d’un navigateur sur lequel on peut compter, citant les exemples de Firefox et Chrome, qui avertiront l’utilisateur que le site visité semble malveillant. Le site conseille particulièrement de se méfier du navigateur Qihoo 360, qui se veut sécurisé mais qui charge directement la fausse page de connexion d’iCloud.com sans avertir l’utilisateur.
Apple explique comment se méfier des sites frauduleux
Apple a également réagi de son côté en publiant une note technique pour expliquer comment reconnaitre un site frauduleux. L’objectif pour l’utilisateur est de vérifier que le site possède bien un certificat valide, ce que n’importe quel navigateur peut vérifier. La firme de Cupertino aborde les cas de Safari évidemment, mais également de Chrome et Firefox, avec la manière de procéder pour vérifier la présence et les détails du certificat. Même s’ils ne sont cités, Opera et Internet Explorer rendent eux aussi ce genre de service.
Apple donne également des captures d’écran afin de montrer ce que le navigateur doit afficher quand le site visité parait louche. Le texte explicatif varie à chaque fois, mais informe toujours des dangers que le simple fait de continuer vers le site représente. Car sans certificat valide, le site ne peut prouver qu’il est bien ce qu’il est, et iCloud.com dispose de plusieurs certificats, délivrés par Symantec et Verisign. On notera que dans son billet, Apple ne cite pas expressément la Chine, mais indique simplement être au courant d’attaques en cours utilisant de faux certificats.
Sachez globalement que le conseil donné par Apple est applicable à tous les cas de ce genre : si vous vous rendez sur un site où vous devriez normalement entrer votre identifiant et votre mot de passe, et que le navigateur vous avertit d’un problème, ne donnez pas ces informations. Il ne peut en effet y avoir que deux explications : soit il s’agit d’un faux site, soit le détenteur légitime n’a pas renouvelé à temps son certificat, ce qui est assez peu probable. Mais dans le doute, mieux vaut s’abstenir.
Commentaires (58)
Opera sous Windows se connectant à iCloud.com… On parie que ça ne calmera quand même pas les trolls? 
" />
La chine dispose d’une autorité de certif (CNNIC) installée dans les navigateurs donc elle peut observer le traffic (sans alerte du navigateur) de n’importe quel site web, non ?
Oui et non. Sur IE, sans problème. Sur Chrome, qui fait du Cert Pinning sur les plus grands sites (dont iCloud), l’utilisateur aura un message d’erreur, et Google sera averti de la malversation.
En fait le coup du certificat qui expire ça peut arriver : il y a quelques semaines j’ai dû aider quelqu’un à s’inscrire sur le site de la RATP, et dans la partie dite “sécurisée”, il refusait l’accès.
En cherchant un peu j’ai vu que le certificat était expiré, j’ai donc dû changer la date de Windows pour que le navigateur accepte le certificat.
Cela m’était déjà arrivé sur d’autres sites, mais j’admets que ce n’est pas fréquent.
Le gouvernement a créé un site de phishing, pour faire croire que la personne est connecter à son compte de cloud, afin de recupérer pseudo et mot de passe pour ensuite consulter le compte cloud de la personne…
" />
La bonne blague : une entreprise frauduleuse qui explique comment éviter les sites frauduleux.
sur quel point ?
Les deux.
- Seulement les certificats revoqués et pas les valides sont publiés.
- Cette affaire de notaires.
J’avoue je connais rien aux 2 sujets…
Oki :)
" /> Perspectives est un système de serveurs qui vont récupérer les certificats des sites auxquels tu te connectes pour les comparer à ceux qu’on vu les autres utilisateurs du système pour le même site et qui t’alertes si le certificat est différent avec ce qui a été vu les jours précédents. Ce n’est pas un système infaillible (notamment, ça génère des alertes suite à un changement naturel de certificat par le site), mais ça a le mérite de sensibiliser l’utilisateur.
1/ Aujourd’hui, ton navigateur se connecte en SSL/TLS sur un site, il récupère le certificat que lui donne le site et vérifie qu’il est signé par une autorité de certification (tiers de confiance donc - dans FF va dans Options/Avancé/Onglet Certificats/Afficher les certificats/Onglet Autorités). Il accorde une confiance aveugle dans tout certificats signés par ces autorités (et dans FF, l’autorité chinoise suspecte est présente. Ceci dit le renard te donne le choix de ne plus faire confiance en une autorité. Je ne sais pas si IE et Chrome le permette). Le problème c’est que tu ne sais pas à l’avance qui a signé tel ou tel certificats. Donc n’importe quel CA peut signer un faux certificat. Un exemple récent et français (et qui peut se défendre). Savoir qui certifie quoi (au moins pour les sites web à accès public) aiderait
2/ C’est une histoire de cravate…
nan mais pirater en masse des compte icloud pour quelques photos de filles nues, mal cadrées et flou alors qu’il y a youporn, xhamster, redtube…..
Le gouvernement chinois a ce je-ne-sais-quoi de culot qui manque cruellement aux fourbes de la NSA.
Ah bin Adam Langley le “monsieur SSL” de Google explique le principal défaut du stapling. Google semblait l’utiliser à l’époque d’ailleurs
A cette grande “démocratie” “pacifique” qui devient une puissance mondiale par hypothèse auto-réalisatrice et a en 60 années eu au moins une guerre avec chacun de ses voisins…
il est évidemment stupide d’utiliser iCloud en général, et plus particulièrement dans des pays dont le régime est répressif. La discussion pourrait donc s’en arrêter là.
Oui, c’est notamment un peu l’idée
De l’erreur historique que tu as faite, oui, sûrement.
Pour le reste, à toi de voir. Je ne faisais que rectifier une erreur historique.