Il y a quelques jours, de nombreuses photos de stars dénudées s'étaient retrouvées sur Internet. Apple et le FBI annonçaient l'ouverture d'une enquête sur le sujet. La société de Cupertino vient de dévoiler quelques éléments, et pas des moindres : elle confirme que « certains comptes de célébrités ont été compromis », mais réfute toute faille liée à ses services.
L'affaire fait grand bruit depuis quelques jours : des photos de stars plus ou moins dénudées se sont retrouvées en vadrouille sur Internet : Jennifer Lawrence, Kate Upton, Victoria Justice et Kirsten Dunst pour ne citer qu'elles. Rapidement, les soupçons se sont portés sur iCloud et Dropbox, deux services de stockage en ligne. Après 40 heures d'enquêtes, Apple livre ses premières conclusions.
Dans un communiqué de presse, la société indique : « nous avons découvert que certains comptes de célébrités ont été compromis par une attaque très ciblée sur les noms d'utilisateur, mots de passe et questions de sécurité, une pratique qui est devenue trop commune sur Internet ». Le mot est lâché, des comptes Apple ont bel et bien été « compromis », et donc des photos ont ainsi pu être récupérées. Est-ce dû à une faille de sécurité ? Pour Apple, la réponse est non. En effet, la pomme ajoute : « aucun des cas que nous avons étudiés n’ont résulté d'une violation dans n'importe quel système d'Apple, y compris iCloud ou Find My iPhone. Nous continuons à travailler avec la police afin d'aider à identifier les criminels impliqués ».
Finalement, Apple confirme donc que des comptes ont été compromis, mais sans pour autant reconnaitre l'existence d'une faille de sécurité, contrairement à ce que certains ont pu évoquer. Mais comment cela est-il possible ? Simplement en découvrant le mot de passe du compte par exemple. Plusieurs possibilités : soit parce il était trop facile à deviner, soit il était identique à celui utilisé sur d'autres services, qui auraient de leur côté été l'objet d'une fuite.
Pour le moment, Apple n'apporte aucune réponse concernant ce dernier point, les analyses suivant leurs cours. La société de Cupertino termine simplement avec deux conseils : utiliser des mots de passe « résistants » et activez la double authentification permettant de confirmer une tentative d'accès par un code aléatoire.
Commentaires (117)
Un iPhone 6 (pour prendre de plus jolies photos) à chacune et c’est oublié
" />
Ca existe encore les questions de sécurité ?
Si c’est ça qui a permis l’intrusion franchement c’est pas étonnant.
Un mot de passe en mousse.
C’est vrai que faire de la brute force sur une API mal codée, c’est pas de la violation de système. Mais Apple se fout de la gueule de qui ?
" />
" />
Demain, si je viens taper avec un pied de biche sur une porte renforcée mal fermée d’un magasin, vous croyez que le proprio va me dire que c’est pas une tentative d’effraction ?
Simplement en découvrant le mot de passe du compte par exemple. Plusieurs possibilités : soit parce il était trop facile à deviner, soit il était identique à celui utilisé sur d’autres services, qui auraient de leur côté été l’objet d’une fuite.
Ou soit parce que ces téléphones offerts et activés par Apple étaient tout prêt à l’emploi afin d’éviter de “complexes manipulations” à la starlette de base pour mieux l’aider à vendre la facilité d’utilisation de ses produits ?
Nah.. Trop tiré par les cheuveux..
Personnellement, Apple ne me fera pas croire qu’un tel nombre de comptes différents ont été compromis uniquement par des moyens extérieur et sans faille de leur côté.
" />
Surtout en ayant corrigé une faillé dès lundi ;)
Cela ne serait que quelques personnalités, ça pourrait passer.
Mais là, comme on dit, c’est trop gros…
Edit: reformulation
Une attaque en brute force ou par dictionnaire ? Je croyais qu’il y avait des limitations en tentative de saisie de mots de passe ?
Le souci, c’est comment les pirates ont obtenu les identifiants (j’entends login/username) des cibles, avant de hacker les mdp par brute force.
Sans doute que des piratages ont été faits avant pour récupérer des emails dans les listes de contact.
Et vu les images, je ne suis pas sûr que tout vienne de la fuite du Cloud mais peut-être de piratage depuis des mois ou années.
Ben qu’il s’agisse d’une faille de sécurité ou pas… le principe reste que les utilisateurs se rendent compte des problèmes liés à l’utilisation du Cloud…
A part si c’est un BB Passport peut-être
HS: il est annoncé de manière officielle dans un event ce 24 septembre \o/
Mode Théorie du complot de la fuite organisée:
" />
Ca ne choque personne alors que ça se produit précisément à la rentrée ?
En plein été, ça serait passé plus inaperçu qu’un article d’une seconde par Pernaud sur T’es Fin
Apple grand menteur le script ibrute sur github a très bien fonctionné sur mon compte icloud ^^
le script : ibrute
Bref il y avait possibilité de bruteforce un compte via findmyphone jusqu’à lundi matin.
Apple a corrigé et maintenant il dise qu’il y a aucun probleme pffff
En même temps, si les dites actrices ne se prenaient pas en photo (à poil) pour les diffuser sur le net… faut pas se plaindre ensuite, hein. Il y a une grosse partie “éducation à l’informatique et aux réseaux” à revoir.
Je vous mets au défi de trouver ma propre bite sur le net, bon courage les gars.
Vous devriez arrêter les théories basées sur du vent dans les commentaires, ça fait de la peine pour vous.
Si à chaque compte piraté “legalement” on fait intervenir la police, ils vont devoir embaucher sévère.
Que les médias fassent le buzz je comprends. Que les hebergeurs se défendent, je comprends aussi car on parle de leurs eventuelles faiblesses.
Mais que les services publiques tels que la police soient mobilisés, je ne vois pas en quel honneur….
Le jour où on me vole des photos, aussi dénudées soient-elles, on me rira au nez. Egalité on vous dit!
On ne peut pas demander à Mme Michu (ou une star) d’avoir des mots de passe compliqués et différents sur chaque service, mais c’est certains qu’une star est une cible de choix dans ce genre de situation.
Normal quand on te demande ton mot de passe sans arrêt pour télécharger des app gratuites on fini par mettre un mot de passe simple
Le fait qu’on puisse essayer plusieurs mots de passe jusqu’à trouver le bon c’est pas une faille? (brute force)
Si au moins y’avait une limite par ip ou temps mais meme pas
Si quelqu’un pouvais m’envoyer un lien en MP, ca serait sympa.
" />
Je préfere bien connaitre mon sujet avant de commenter.
Par curiosité, le stockage des documents est activé par défaut quand on active pour la première fois un Iphone ou Ipad…?
official&channel=sb&noj=1&source=lnms&tbm=nws&sa=X&ei=0CcHVLKJBanlsAS1mIHAAQ&ved=0CAgQ_AUoAQ&biw=1920&bih=968” target=”_blank” rel=“nofollow”>google
Suffit de voir ce lien pour comprendre que tous les gens qui parlent de vol sont tous des cons, heureusement que t’es la pour leur apprendre la définition d’un vol.
Dura lex, sed lex
Voici ce que dit le Code Pénal du vol.
http://next.liberation.fr/arts/2014/09/04/photos-de-stars-hackees-du-scandale-a-l-expo_1093523?xtor=rss-450
Bon en fait le problème de ces leaks c’est que les “victimes” ne touchaient pas de droits dessus.
Si c’est un artiste reconnu et qu’il expose ça dans une galerie tout va bien apparemment…
Ca remet en perspective tous ceux qui parlent d’acte ignoble, de viol, etc… Apparemment le seul problème c’était l’argent.
Monde de merde.