Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Apple alerte désormais par email de toutes les connexions à iCloud

Oui mais...

Apple alerte désormais par email de toutes les connexions à iCloud

Le 09 septembre 2014 à 07h00

Suite au piratage de comptes iCloud de dizaines de célébrités, Apple avait promis que certaines mesures seraient mises en place. Depuis hier, toute connexion vers un compte iCloud depuis un nouvel appareil se soldera par la réception d’un email pour avertir le possesseur de compte.

À la lumière de l’affaire des célébrités dont des dizaines de photos dénudées ont été envoyées sur la toile, Apple a annoncé que des protections supplémentaires seraient ajoutées à ses comptes iCloud. Ceux des célébrités ont probablement été piratés en devinant les mots de passe, mais il n’est pas impossible qu’une faille ait pu être utilisée afin de lancer des attaques par force brute.

 

Parmi les mesures envisagées, Apple vient d'ajouter une première fonctionnalité : prévenir l’utilisateur que ses identifiants ont été utilisés depuis une machine qui n’avait jamais servi auparavant, ou même un nouveau navigateur. La tester ne nous a d’ailleurs pas pris longtemps : nous avons simplement ouvert une fenêtre Chrome en mode Invité (équivalent à une installation neuve) et nous sommes connectés sur un compte. Peu de temps après, Apple envoyait un email pour avertir des détails de cette connexion.

 

icloud

 

La procédure est assez bruyante,  parce que si l’on recommence la manipulation plusieurs fois, Apple enverra autant d’emails. La fonction mise en place est surtout destinée à ceux qui veulent savoir ce qui est fait de leur compte, désireux d'être avertis d’un accès depuis une machine qui ne leur appartient pas.

 

L’envoi de cet email peut certes être utile, mais la logique même retenue peut n’avoir strictement aucun effet en termes de sécurité. Si une personne étrangère possède le moyen de se connecter à un compte iCloud, il pourra supprimer l’email dès son arrivée. Si la manipulation est assez rapide, les appareils ne recevront peut-être même pas la notification de l’arrivée de cet email.

 

On remarquera cependant qu’il ne s’agit que d’une première étape. Plus important, Apple imposera bientôt une authentification à deux facteurs en cas de connexion, justement, depuis un appareil n’ayant jamais utilisé. Il sera dès lors beaucoup plus difficile pour un compte d’être piraté, même si aucune protection n’est absolue.

Commentaires (54)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

<img data-src=" />

Merci pour tous ceux qui se connectent en mode privé….



C’est un peu comme cette mesure à la * de devoir informer les utilisateurs que le site utilise les cookies… Quand on est en mode privé, ça casse les pieds à chaque fois!

votre avatar

Tentative pour contrer le shitstorm ?

votre avatar

Nouvelle règle pour la spambox en perspective.

votre avatar







jinge a écrit :



C’est un peu comme cette mesure à la * de devoir informer les utilisateurs que le site utilise les cookies… Quand on est en mode privé, ça casse les pieds à chaque fois!







Exact, quand on est en mode privé ou sur un site depuis chez un client, c’est une plaie cette loi, et ne change pas grand chose… à part une gêne pour l’utilisateur.


votre avatar



Plus important, Apple imposera bientôt une authentification à deux facteurs en cas de connexion



..histoire de gratter ton numéro de téléphone des fois que t’aies pas déjà acheté un iPhone..



Leyananas.

votre avatar







Ddrimene a écrit :



..histoire de gratter ton numéro de téléphone des fois que t’aies pas déjà acheté un iPhone..



Leyananas.





ils le récupère déjà pour leur messagerie instantanée


votre avatar

“Chère/Cher Jennifer Lawrence,



Votre identifiant Apple ([email protected]) à été utilisé lors d’une connexion à iCloud à partir d’un navigateur web ….”



Et bis repetita <img data-src=" />



c’est pratique, maintenant les actrices ne se feront plus simplement voler les photos et vidéos sexy, elles seront d’avance au courant que quelqu’un les as <img data-src=" />

votre avatar







jinge a écrit :



<img data-src=" />

Merci pour tous ceux qui se connectent en mode privé….



C’est un peu comme cette mesure à la * de devoir informer les utilisateurs que le site utilise les cookies… Quand on est en mode privé, ça casse les pieds à chaque fois!







En même temps, ça sert à quoi le mode privé d’un navigateur ?


votre avatar







Ddrimene a écrit :



..histoire de gratter ton numéro de téléphone des fois que t’aies pas déjà acheté un iPhone..



Leyananas.



La parade : un vieux dumbphone qui traîne (ou un téléphone double SIM) et une SIM Prixtel avec forfait Modulo 0 € (il faut juste penser à envoyer un SMS de temps en temps).


votre avatar







GvLustig a écrit :



“Chère/Cher Jennifer Lawrence,



Votre identifiant Apple ([email protected]) à été utilisé lors d’une connexion à iCloud à partir d’un navigateur web ….”



Et bis repetita <img data-src=" />



c’est pratique, maintenant les actrices ne se feront plus simplement voler les photos et vidéos sexy, elles seront d’avance au courant que quelqu’un les as <img data-src=" />





C’est ce que je me disais, on t’informe juste que tu t’es fait b* <img data-src=" />

Mais en aucun cas c’est une sécurité (à part le fait qu’on puisse changer de mot de passe pour éviter que ça ne recommence, mais le mal est probablement déjà fait).


votre avatar







papinse a écrit :



La parade : un vieux dumbphone qui traîne (ou un téléphone double SIM) et une SIM Prixtel avec forfait Modulo 0 € (il faut juste penser à envoyer un SMS de temps en temps).





Tellement évident que j’y ai jamais pensé..



Leynas.


votre avatar







jinge a écrit :



C’est ce que je me disais, on t’informe juste que tu t’es fait b* <img data-src=" />

Mais en aucun cas c’est une sécurité (à part le fait qu’on puisse changer de mot de passe pour éviter que ça ne recommence, mais le mal est probablement déjà fait).





+10, surtout si le vilain pirate change toutes tes informations personnelles, tu l’as dans le c*l pour récupérer ton compte, non?



Jean-Kévin-Leynas


votre avatar







jeje07 a écrit :



[quote:5152304:jinge]<img data-src=" />

Merci pour tous ceux qui se connectent en mode privé….



C’est un peu comme cette mesure à la * de devoir informer les utilisateurs que le site utilise les cookies… Quand on est en mode privé, ça casse les pieds à chaque fois!







En même temps, ça sert à quoi le mode privé d’un navigateur ? [/quote]

Je sais pas… A tout hasard du pr0n sans se faire avoir dans l’historique et les cookies par Marie-Chantale <img data-src=" />







jinge a écrit :



C’est ce que je me disais, on t’informe juste que tu t’es fait b* <img data-src=" />

Mais en aucun cas c’est une sécurité (à part le fait qu’on puisse changer de mot de passe pour éviter que ça ne recommence, mais le mal est probablement déjà fait).





Yep. Facebook et MS font pareil. Sympa pour prévenir qu’il y a une faille, mais ta vie intime c’est déjà fait siphonnée quand tu l’apprends…



Ca ne corrige pas le problème, et les hacks ne seront pas stoppés par cela


votre avatar



L’envoi de cet email peut certes être utile, mais la logique même retenue peut n’avoir strictement aucun effet en termes de sécurité. .

Complètement. Du coup, sans être nul, l’intérêt n’est pas bien épais.

Coucou lo Coucou Paleynas.

votre avatar







FunnyD a écrit :



+10, surtout si le vilain pirate change toutes tes informations personnelles, tu l’as dans le c*l pour récupérer ton compte, non?



Jean-Kévin-Leynas





Je ne vois pas l’intérêt pour eux de modifier tes accès, vu que tout a été copié. A la rigueur les login/mdp des banques ok mais des solutions cloud?



Par contre, c’est quoi votre délire avec les signatures”leynas” là depuis hier? <img data-src=" />


votre avatar

La meilleure protection est de désactiver l’envoi automatique vers icloud et de ne faire que des transferts que chez soi sur une machine non connecté à internet.

votre avatar







GvLustig a écrit :



“Chère/Cher Jennifer Lawrence,



Votre identifiant Apple ([email protected]) à été utilisé lors d’une connexion à iCloud à partir d’un navigateur web ….”



Et bis repetita <img data-src=" />



c’est pratique, maintenant les actrices ne se feront plus simplement voler les photos et vidéos sexy, elles seront d’avance au courant que quelqu’un les as <img data-src=" />





C’est vrai que ce que veut Jennifer, c’est un message du genre:



Votre identifiant Apple ([email protected]) va être utilisé par une connexion à iCloud à partir de l’IP ….



Leynasomatic


votre avatar

Au moins, les piratés pourront lancer les DMCA dès la réception du mail, ce sera ça de gagné <img data-src=" />



ActionLeynas.

votre avatar

Ca c’est une très bonne idée: maintenant on peut tenter de fisher avec un faux mail d’Apple signalant une connexion. C’est très malin de leur part.

votre avatar







GvLustig a écrit :



Par contre, c’est quoi votre délire avec les signatures”leynas” là depuis hier? <img data-src=" />







Click !



Leynas.


votre avatar







GvLeynas a écrit :



Je ne vois pas l’intérêt pour eux de modifier tes accès, vu que tout a été copié. A la rigueur les login/mdp des banques ok mais des solutions cloud?



Gagner du temps?<img data-src=" />





Par contre, c’est quoi votre délire avec les signatures”leynas” là depuis hier? <img data-src=" />



La signature va êter une obligation avec la v6, du coup on s’entraîne.<img data-src=" />



Jean-Kévin-Leynas


votre avatar

Ce mail va sans doute provoquer un joli appeau à phishing!!! Ce côté systématique et proposer le lien de réinitialisation du MDP dans le mail, c’est juste c..!

<img data-src=" />

votre avatar







yl a écrit :



Ce mail va sans doute provoquer un joli appeau à phishing!!! Ce côté systématique et proposer le lien de réinitialisation du MDP dans le mail, c’est juste c..!

<img data-src=" />







Je pensais la même chose tiens <img data-src=" />



votre avatar







FunnyD a écrit :



La signature va êter une obligation avec la v6, du coup on s’entraîne.<img data-src=" />



Jean-Kévin-Leynas





C’est vrai ça ? ou c’est juste un troll pour continuer de signer



ActionLeynas.


votre avatar







Ddrimene a écrit :



Click !



Leynas.









FunnyD a écrit :



Gagner du temps?<img data-src=" />





La signature va êter une obligation avec la v6, du coup on s’entraîne.<img data-src=" />



Jean-Kévin-Leynas







Boarf, maintenant avec ce procédé tu envoi un petit mail disant qu’on t’a piraté, on te dit de cliquer ici, et du coup tu te fais fisher et tu te retrouve sur la baie avec 20k de seeders, c’est encore plus facile, pas besoin de changer les logins <img data-src=" />



“Leynas-marre-qu’on-se-paluche-sur-moi” (J.Lawrence) <img data-src=" />



Edith : grillé sur le poisson ^^


votre avatar







ActionLeynas a écrit :



C’est vrai ça ? ou c’est juste un troll pour continuer de signer



ActionLeynas.





Je sais pas, mais ca serait fun. Bon, vu les Zozos présents sur Nixi, m’est avis que ca serait forcement facultatif, si signature il y a <img data-src=" />



GvLustig a écrit :



Boarf, maintenant avec ce procédé tu envoi un petit mail disant qu’on t’a piraté, on te dit de cliquer ici, et du coup tu te fais fisher et tu te retrouve sur la baie avec 20k de seeders, c’est encore plus facile, pas besoin de changer les logins <img data-src=" />



“Leynas-marre-qu’on-se-paluche-sur-moi” (J.Lawrence) <img data-src=" />



Edith : grillé sur le poisson ^^





<img data-src=" />

J’avais pas vu cela comme ça



Jean-Kévin-Leynas


votre avatar







FunnyD a écrit :



Je sais pas, mais ca serait fun. Bon, vu les Zozos présents sur Nixi, m’est avis que ca serait forcement facultatif, si signature il y a <img data-src=" />



Jean-Kévin-Leynas





Ça m’étonnai aussi….



Si Vincent doit également sworder les signatures, va finir par avoir de l’arthrose aux épaules <img data-src=" />



ActionLeynas.


votre avatar







ActionFighter a écrit :



Ça m’étonnai aussi….



Si Vincent doit également sworder les signatures, va finir par avoir de l’arthrose aux épaules <img data-src=" />



ActionLeynas.





Et la bastard sword va chauffer au rouge.



Leynasomatic


votre avatar

Ce genre de truc existe déjà sur Gmail. Sur Steam il me semble qu’en cas de connexion depuis une nouvelle machine un email est envoyé, et il faut autoriser la nouvelle machine pour que la connexion soit acceptée…



Apple devrait prendre exemple sur l’existant au lieu d’essayer de ré-inventer la roue en moins bien (mais avec une pomme dessus).



Konas

votre avatar







ActionLeynas a écrit :



Ça m’étonnai aussi….



Si Vincent doit également sworder les signatures, va finir par avoir de l’arthrose aux épaules <img data-src=" />



ActionLeynas.





Ca sera plutôt du blocage de compte à faire <img data-src=" /> Par contre ca serait sympa de savoir si ils comptent mettre des signatures <img data-src=" />



Jean-Kévin-Leynas


votre avatar







gokudomatic a écrit :



Et la bastard sword va chauffer au rouge.



Leynasomatic





<img data-src=" />







FunnyD a écrit :



Ca sera plutôt du blocage de compte à faire <img data-src=" /> Par contre ca serait sympa de savoir si ils comptent mettre des signatures <img data-src=" />



Jean-Kévin-Leynas





Je suis pas spécialement fan des signatures moi.



Leynaz


votre avatar







FunnyD a écrit :



Ca sera plutôt du blocage de compte à faire <img data-src=" /> Par contre ca serait sympa de savoir si ils comptent mettre des signatures <img data-src=" />



Jean-Kévin-Leynas



Tant qu’on peut ne pas les afficher. <img data-src=" />



Leynase.


votre avatar







papinse a écrit :



Tant qu’on peut ne pas les afficher. <img data-src=" />



Leynase.





Y’a plus qu’à bricoler un script GreaseMonkey.



Leynas.


votre avatar







ActionLeynas a écrit :



<img data-src=" />





Je suis pas spécialement fan des signatures moi.



Leynaz





Moi non plus <img data-src=" />



papinse a écrit :



Tant qu’on peut ne pas les afficher. <img data-src=" />



Leynase.





Option intéressante <img data-src=" />



Jean-Kévin-Leynas


votre avatar







Ddrimene a écrit :



Y’a plus qu’à bricoler un script GreaseMonkey.



Leynas.



Si c’est bien fait, Element Hiding Helper sur le div de la signature et c’est bon.



Lainasse.


votre avatar







papinse a écrit :



Si c’est bien fait, Element Hiding Helper sur le div de la signature et c’est bon.



Lainasse.





Mais ça marchera pas si t’es un gros sadique qui signe directement dans ses messages.

Leynas.


votre avatar







Ddrimene a écrit :



Mais ça marchera pas si t’es un gros sadique qui signe directement dans ses messages.

Leynas.





Si en plus tu varies, ton script ne sera jamais à jour.



73Y||45


votre avatar

D’ailleurs je viens de recevoir un spam ce matin:



“lTUNES



Chère/Cher Client ,

Votre identifiant Apple a été utilisé pour se connecter à iCloud et iMessage à partir d’un iPhone 5 appelé .

Si vous n’avez pas récemment configuré un iPhone avec votre identifiant Apple, il serait plus sûr de suivre

ces étapes en cliquant ci-dessous : Cliquez ici

L’assistance Apple”



Sauf que je n’ai pas pas de compte Apple… <img data-src=" />

votre avatar







yl a écrit :



Ce mail va sans doute provoquer un joli appeau à phishing!!! Ce côté systématique et proposer le lien de réinitialisation du MDP dans le mail, c’est juste c..!

<img data-src=" />





Même ceux qui n’auront pas de compte iCloud vont se connecter comme des couillons <img data-src=" />


votre avatar







Ddrimene a écrit :



Mais ça marchera pas si t’es un gros sadique qui signe directement dans ses messages.

Leynas.



Je parlais de la signature intégrée dans le système et de système “bien fait”.



gokudomatic a écrit :



Si en plus tu varies, ton script ne sera jamais à jour.



73Y||45



Dans ce cas, le problème est le même pour GreaseMonkey et pour Element Hiding Helper.



Laynes.


votre avatar







Leixia a écrit :



D’ailleurs je viens de recevoir un spam ce matin:



“lTUNES



Chère/Cher Client ,

Votre identifiant Apple a été utilisé pour se connecter à iCloud et iMessage à partir d’un iPhone 5 appelé .

Si vous n’avez pas récemment configuré un iPhone avec votre identifiant Apple, il serait plus sûr de suivre

ces étapes en cliquant ci-dessous : Cliquez ici

L’assistance Apple”



Sauf que je n’ai pas pas de compte Apple… <img data-src=" />







Ça à commencé :eeek:

Sont rapide, ses pécheurs…



Leynas-ricot-sont-cuits


votre avatar

WHOAW! X14 Leynas.



<img data-src=" /> MEGA COMBOT BREA !! BREAK !! BEEEAAKKER !





<img data-src=" />



C’est beaucoup trop bien parti pour que ça s’arrête comme ça ! Vous êtes les meilleurs !





Leynas.

votre avatar







maestro321 a écrit :



WHOAW! X14 Leynas.



<img data-src=" /> MEGA COMBOT BREA !! BREAK !! BEEEAAKKER !





combo beaker



Leynasomatic


votre avatar

Ça change pas grand chose au final… Seul la double authentification peut vraiment sécurisé ce type de stockage distant même si c’est parfois contraignant…



Les NAS

votre avatar







arno53 a écrit :



Ça change pas grand chose au final… Seul la double authentification peut vraiment sécurisé ce type de stockage distant même si c’est parfois contraignant…



Les NAS







Oui mais les NAS n’empechent pas d’avoir des souci de sécurité (voir la faille Synology) .. hein ? ah c’était pas une phrase non terminée …



meyrdas <img data-src=" />


votre avatar



Si une personne étrangère possède le moyen de se connecter à un compte iCloud, il pourra supprimer l’email dès son arrivée



QUE si le hacker a aussi le mot de passe de son acces email et que ce dernier est pas securisé… Ya pas mal d’email ou on peut demander que les appareil inconu soient validé par sms ….



donc pour se faire hacker son icloud + son email faut vraiment VOULOIR









jeje07 a écrit :



[quote:5152304:jinge]<img data-src=" />

Merci pour tous ceux qui se connectent en mode privé….



C’est un peu comme cette mesure à la * de devoir informer les utilisateurs que le site utilise les cookies… Quand on est en mode privé, ça casse les pieds à chaque fois!







En même temps, ça sert à quoi le mode privé d’un navigateur ? [/quote]

aller sur des sites de boules

ne pas laisser de traces

tester un site sans cookie et autre session (pratique pour les webmaster qui veulent tester leur site sans devoir effacer les cookies ou installer un nouveau navigateur)


votre avatar







jinge a écrit :



<img data-src=" />

Merci pour tous ceux qui se connectent en mode privé….



C’est un peu comme cette mesure à la * de devoir informer les utilisateurs que le site utilise les cookies… Quand on est en mode privé, ça casse les pieds à chaque fois!







  • 1


votre avatar







Konrad a écrit :



Ce genre de truc existe déjà sur Gmail. Sur Steam il me semble qu’en cas de connexion depuis une nouvelle machine un email est envoyé, et il faut autoriser la nouvelle machine pour que la connexion soit acceptée…



et c’est une super protection pour Steam <img data-src=" />

par 2 fois j’ai eu un mail pour me signaler une connexion depuis la Chine et depuis le Burkistan (ils ont le net là-bas? <img data-src=" /> ), au moins ca m’a permis de savoir que mon mdp était à changer sans que mon compte n’aie été compromis derrière vu que je n’ai jamais autorisé leur connexion…



Leynas 1.3


votre avatar



il n’est pas impossible qu’une faille ait pu être utilisée afin de lancer des attaques par force brute.



Bah, pourquoi ne pas faire des directives au bout de 3 authentifications résultant un échec ? Blocage du compte pour de nouvelles connexions / envoie d’un email pour en référer à l’utilisateur / autre ? Ou au moins mettre une sécurité supplémentaire si la connexion est illogique (exemple : un indou qui tente de se connecter (même avec succès) sur un compte d’un finlandais se voit refuser l’accès). De mémoire, Google utilise déjà cette technique depuis un bon moment.

Parce que là c’est clair que c’est assez mal pensé, pour ne pas dire que ça ne sert à rien.



Stroovoleynas.

votre avatar







arno53 a écrit :



Ça change pas grand chose au final… Seul la double authentification peut vraiment sécurisé ce type de stockage distant même si c’est parfois contraignant…



Les NAS







Je ne trouve pas ça contraignant la double auth, par contre faut penser à faire un backup de son application de double authentification (Titanium backup)


votre avatar







Leixia a écrit :



Je ne trouve pas ça contraignant la double auth, par contre faut penser à faire un backup de son application de double authentification (Titanium backup)





Bah le seul problème c’est si tu n’as pas ton smartphone sur toi ou que tu te l’aie fait volé … Il faut surtout pensé a imprimer ou sauvegarder les code de secours.


votre avatar







arno53 a écrit :



Bah le seul problème c’est si tu n’as pas ton smartphone sur toi ou que tu te l’aie es fait volé … Il faut surtout pensé er a à imprimer ou sauvegarder les code de secours.





nan mais oh! <img data-src=" />



Grammar Leynas


votre avatar







alain57 a écrit :



QUE si le hacker a aussi le mot de passe de son acces email et que ce dernier est pas securisé… Ya pas mal d’email ou on peut demander que les appareil inconu soient validé par sms ….



donc pour se faire hacker son icloud + son email faut vraiment VOULOIR







Même password, tout simplement…





Grosnas


votre avatar







gokudomatic a écrit :



nan mais oh! <img data-src=" />



Grammar Leynas





“Bah le seul problème c’est si tu n’as pas ton smartphone sur toi ou que tu te l’es fait voler … Il faut surtout penser à imprimer ou sauvegarder les codes de secours.”



Quitte à corriger…


Apple alerte désormais par email de toutes les connexions à iCloud

Fermer