#Fappening : la faute à une faille iCloud colmatée dans la journée ?

#Fappening : la faute à une faille iCloud colmatée dans la journée ?

Password1, Princess1, P@ssw0rd, Passw0rd...

Avatar de l'auteur

Vincent Hermann

Publié dansInternet

01/09/2014
33
#Fappening : la faute à une faille iCloud colmatée dans la journée ?

Alors que l’on ne sait pas encore d’où proviennent exactement les photos de célébrités dénudées que nous abordions ce matin dans nos colonnes (#Fappening), la piste iCloud s’étoffe alors même que celle de Dropbox semble tout aussi crédible. Il se pourrait en effet que le pirate ait profité d’une faille de sécurité dans le service « Find My iPhone ».

Selon The Next Web, un script rédigé en Python fait parler de lui depuis aujourd’hui. Apparu sur Github, il exploite une faille dans le service de localisation des iPhone pour attaquer la procédure d’authentification des comptes iCloud en force brute. Ce qui consiste tout simplement à essayer tous les mots de passe possibles en suivant un schéma d’évolution. Normalement, tout système d’identification (un tant soit peu bien fait) ne dispose que d’un nombre limité de tentatives, avant de bloquer le compte.

 

C’est bien sûr là qu’intervient la faille puisqu’elle permet de tenter sa chance un nombre illimité de fois. « Permettait » est en fait plus exact. Nos confrères se sont en effet entretenus avec l’auteur du script, qui a précisé qu’à compter de 12h20 aujourd’hui, son outil avait cessé de fonctionner. Il s’agit selon lui de la preuve qu’Apple s’est rendu compte de la brèche et l’a donc colmatée. D’ailleurs, lors de ses tests l'équipe de The Next Web indique que le compte a été verrouillé après les cinq tentatives seulement.

 

icloud faille find iphone

 

L’auteur, Hackapp, a expliqué par ailleurs que ce type de vulnérabilité était particulièrement courant dès lors qu’une entreprise proposait des interfaces multiples connectées à un service d’authentification. Il suffit de quelques connaissances selon lui pour les découvrir et arriver à les exploiter.

 

Mais quel rapport avec les photos dénudées des célébrités ? L’outil, ou une variante, aurait pu être utilisé pour s’attaquer aux comptes iCloud de ces personnes. Ce qui suppose évidemment que les adresses des comptes aient été connues. Une possibilité qu’admet en tout cas Hackapp : « je n’en ai vu aucune preuve, mais j’imagine que quelqu’un a pu utiliser cet outil ». Difficile pour le moment d’en savoir davantage. Apple a par ailleurs refusé de s’exprimer sur le sujet.

33
Avatar de l'auteur

Écrit par Vincent Hermann

Tiens, en parlant de ça :

dessin de Flock

#Flock distribue des mandales tous azimuts

13:40 Flock 10
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #11 et résumé de la semaine

11:47 Next 18
Carte graphique AMD GeForce

Cartes graphiques : 30 ans d’évolution des GPU

Ha… la bonne époque d’un CF de 4870 X2 !

18:10 Hard 18

Sommaire de l'article

Introduction

dessin de Flock

#Flock distribue des mandales tous azimuts

Flock 10
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #11 et résumé de la semaine

Next 18
Carte graphique AMD GeForce

Cartes graphiques : 30 ans d’évolution des GPU

Hard 18

Google lance son opération de communications Gemini pour rivaliser avec OpenAI

IA 6
Ecran bleu de Windows

Linux : le composant systemd se dote d’un écran bleu de la mort

Soft 32
Une petite fille en train d'apprendre à programmer et hacker logiciels et appareils électroniques

Un roman graphique explique les logiciels libres aux enfants

SoftSociété 19
Nouveautés pour Messenger

Meta lance (enfin) le chiffrement de bout en bout de Messenger, entre autres

Socials 5

#LeBrief : cloud européen, OSIRIS-REx a frôlée la catastrophe, CPU AMD Ryzen 8040

Windows en 2024 : beaucoup d’IA, mais pas forcément un « 12 »

Soft 21
Einstein avec des qubits en arrière plan

Informatique quantique, qubits : avez-vous les bases ?

HardScience 9
Notifications iPhone

Surveillance des notifications : un sénateur américain demande la fin du secret

DroitSécu 17

En ligne, les promos foireuses restent d’actualité

DroitWeb 19

#LeBrief : modalité des amendes RGPD, cyberattaque agricole, hallucinations d’Amazon Q, 25 ans d’ISS
Logo Twitch

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

ÉcoWeb 29
Formation aux cryptomonnaies par Binance à Pôle Emploi

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

Éco 10
Consommation électrique du CERN

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Science 6
station électrique pour voitures

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

Société 75

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC
KDE Plasma 6

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Soft 13
Un homme noir regarde la caméra. Sur son visage, des traits blancs suggèrent un traitement algorithmique.

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

DroitSociété 4
Api

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

SécuSociété 3
Fouet de l’Arcep avec de la fibre

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

DroitWeb 23
Bombes

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

IA 22

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement
Poing Dev

Le poing Dev – Round 7

Next 102
Logo de Gaia-X sour la forme d’un arbre, avec la légende : infrastructure de données en forme de réseau

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

WebSécu 7

Trois consoles portables en quelques semaines

Hard 37
Une tasse estampillée "Keep calm and carry on teaching"

Cyberrésilience : les compromis (provisoires) du trilogue européen

DroitSécu 3

#LeBrief : fuite de tests ADN 23andMe, le milliard pour Android Messages, il y a 30 ans Hubble voyait clair
next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

Commentaires (33)


Awax Abonné
Le 01/09/2014 à 16h38

Les données EXIF de certaines photos correspondraient à des appareils Android. iCloud hors du coup pour celles-ci. Surtout que iCloud Photo Stream ne stocke que les 30 derniers jours.

Et pour les (hypothétiques) vidéos, iCloud est hors de cause car il ne stocke que les photos et pas les vidéos.


Yuwhan
Le 01/09/2014 à 17h01

Certaines donc pas toutes…


Lennyroquai
Le 01/09/2014 à 17h12

Il a apparemment été confirmé que certaines photos viennent du compte iCloud d’un sportif, photos qui venait de “ses ex” http://www.tuxboard.com/celebgate-dou-proviennent-les-photos-volees-leaked-des-s…


jpaul Abonné
Le 01/09/2014 à 18h18






Lennyroquai a écrit :

Il a apparemment été confirmé que certaines photos viennent du compte iCloud d’un sportif, photos qui venait de “ses ex” http://www.tuxboard.com/celebgate-dou-proviennent-les-photos-volees-leaked-des-s…


Ce site, Tuxboard, c’est un ancien site sur le logiciel libre qui a rudement dérivé ou je me trompe ?



yoda222
Le 01/09/2014 à 18h48






Awax a écrit :

Les données EXIF de certaines photos correspondraient à des appareils Android. iCloud hors du coup pour celles-ci. Surtout que iCloud Photo Stream ne stocke que les 30 derniers jours.

Et pour les (hypothétiques) vidéos, iCloud est hors de cause car il ne stocke que les photos et pas les vidéos.


Si tu récupères un mot de passe grâce à une faille sur un site, l’essayer sur un autre est une bonne idée. Enfin, “bonne”, ça dépend de tes intentions quoi.



refuznik Abonné
Le 01/09/2014 à 18h53






jpaul a écrit :

Ce site, Tuxboard, c’est un ancien site sur le logiciel libre qui a rudement dérivé ou je me trompe ?


Nan, un rachat seulement de nom de domaine à la mode, il y a quelques années.




lain
Le 01/09/2014 à 19h22

pfff même pas une seul photo d’emma watson <img data-src=" />


Gigatoaster
Le 01/09/2014 à 20h01

Où sont les photos? J’ai rien vu moi!!


mooms
Le 01/09/2014 à 20h10

D’après ce que j’ai pu lire, ce n’est pas l’œuvre d’un seul hacker, mais plutôt de plusieurs, ce qui explique pourquoi certaine photos ont plusieurs années.
Il semble qu’il y ait un marché d’échange underground de photos de stars a oilpé, et certains ont profités du premier leak pour leaker à leur tour…


mooms
Le 01/09/2014 à 20h13
mooms
Le 01/09/2014 à 20h18
mooms
Le 01/09/2014 à 20h37
seboquoi
Le 01/09/2014 à 20h50

Regarder les défenseurs de la vie privée se goinfrer du viol de l’intimité de quelques starlettes, succulent. <img data-src=" /><img data-src=" />


Gigatoaster
Le 01/09/2014 à 20h58

Ils ont cassé reddit.


MikeNeko
Le 01/09/2014 à 21h45

Des célébrités dont je n’ai jamais entendu parler… je suis vraiment à la ramasse sur la culture “générale” :/

Dans ce genre de mésaventure, les personnes “vraies” n’en sortent pas salies.
Même nues, dans l’intimité, etc, quand un individu est bienveillant par essence cela se ressent.
Il reste la piqûre de pudeur, mais il ne fallait pas faire confiance à des services qui envoient les données à l’extérieur du stockage physique de l’appareil.

(edition, je retire la dernière phrase, l’expression était belle mais l’image osée ;) )


John Shaft Abonné
Le 02/09/2014 à 06h55


#Fappening


Waouh, ça vole haut…






Lennyroquai a écrit :

Il a apparemment été confirmé que certaines photos viennent du compte iCloud d’un sportif, photos qui venait de “ses ex” http://www.tuxboard.com/celebgate-dou-proviennent-les-photos-volees-leaked-des-stars-denudees/)



Enfin je me demande si un machin en “gate” n’est pas pire. (Vivement un “scandale” sur les cols de chemises <img data-src=" />)



MikeNeko a écrit :

Des célébrités dont je n’ai jamais entendu parler… je suis vraiment à la ramasse sur la culture “générale” :/



<img data-src=" />

Ton centre d’intérêt “culture générale” est juste ailleurs <img data-src=" />

Perso, je reconnais quelques noms, mais ce n’est pas pour autant que je suis à la ramasse au niveau culture générale. <img data-src=" />



anonyme_92fcfbdd6cc3f0397af3a985adab6b1b
Le 02/09/2014 à 07h04






John Shaft a écrit :

Waouh, ça vole haut…


Je t’assure, ce n’est pas VincentH qui l’a inventé.<img data-src=" />



Vieux_Coyote
Le 02/09/2014 à 07h49






seboquoi a écrit :

Regarder les défenseurs de la vie privée se goinfrer du viol de l’intimité de quelques starlettes, succulent. <img data-src=" /><img data-src=" />



C’est clair, c’est vraiment pathétique… Ah, tous ces mecs qui se sont rués sur les photos… tsss … Cette fausse une de journal résume bien leur situation



spidy Abonné
Le 02/09/2014 à 08h25

jennifer lawrence <img data-src=" />

il y a même Maisie Williams (aka Arya Stark)

<img data-src=" />


Schumi
Le 02/09/2014 à 08h28

D’un point de vue geek ce qui me “choque” à chaque fois qu’une vidéo ou photo est leakée c’est la qualité. On dirait que ça a été pris avec une caméra de surveillance de supermarché des années 80 ou avec un appareil photo jetable.
Les celebs gagnent des M$ et ils prennent des photos - vidéos comme ça ? <img data-src=" />


Lafisk
Le 02/09/2014 à 08h43






Vieux_Coyote a écrit :

C’est clair, c’est vraiment pathétique… Ah, tous ces mecs ces gosses qui se sont rués sur les photos… tsss … Cette fausse une de journal résume bien leur situation




Non parce que meme si tu as 30ans+ mais que tu te goinfres sur ce genre de photos faut etre un gosse dans sa tete quand meme …



dematbreizh Abonné
Le 02/09/2014 à 08h57






seboquoi a écrit :

Regarder les défenseurs de la vie privée se goinfrer du viol de l’intimité de quelques starlettes, succulent. <img data-src=" /><img data-src=" />


Qui a parlé de défenseurs de la vie privée?
4chan est tout sauf ça.



anonyme_edadaecc91c3bb908a8e0ab43a984c71
Le 02/09/2014 à 09h20






Awax a écrit :

Les données EXIF de certaines photos correspondraient à des appareils Android. iCloud hors du coup pour celles-ci.



Ah, on ne peut donc pas envoyer de photos sur un Iphone depuis un autre appareil. C’est vraiment de la merde ces téléphones !
Sinon bravo pour avoir été chercher les photos j’imagine que c’est juste pour l’enquête ! :P



anonyme_edadaecc91c3bb908a8e0ab43a984c71
Le 02/09/2014 à 09h24






seboquoi a écrit :

Regarder les défenseurs de la vie privée se goinfrer du viol de l’intimité de quelques starlettes, succulent. <img data-src=" /><img data-src=" />





dematbreizh a écrit :

Qui a parlé de défenseurs de la vie privée?



Il parle des gens qui font la morale à longueur de journée sur PCI quand il s’agit de ne pas surveiller le web… ou divulguer leur IP à la vilaine Hadopi ! Et qui se ruent sur ces photos et se réjouissent du nom “Fappening”..

Du haut niveau !



Khalev
Le 02/09/2014 à 09h38






Tourner.lapache a écrit :

Il parle des gens qui font la morale à longueur de journée sur PCI quand il s’agit de ne pas surveiller le web… ou divulguer leur IP à la vilaine Hadopi ! Et qui se ruent sur ces photos et se réjouissent du nom “Fappening”..

Du haut niveau !


Cf l’article de The Verge à ce sujet d’ailleurs :
http://www.theverge.com/2014/9/1/6092769/creeps



anonyme_edadaecc91c3bb908a8e0ab43a984c71
Le 02/09/2014 à 11h13






Khalev a écrit :

Cf l’article de The Verge à ce sujet d’ailleurs :
http://www.theverge.com/2014/9/1/6092769/creeps



On peut aussi ajouter dans la boucle ceux qui défendent mégaupload car 3 pelerins et demi sur la masse des utilisateurs l’utilisaient à des fins légales.



misterB
Le 02/09/2014 à 12h29






spidy a écrit :

jennifer lawrence <img data-src=" />

il y a même Maisie Williams (aka Arya Stark)

<img data-src=" />


C’est donc de la pédophilie a ce niveau <img data-src=" /><img data-src=" />



RinSa
Le 02/09/2014 à 13h33






dematbreizh a écrit :

Qui a parlé de défenseurs de la vie privée?
4chan est tout sauf ça.



oui, là où tout le monde s’appelle Anonymous, et aucune donnée n’est enregistrée post 24h :)



misterB a écrit :

C’est donc de la pédophilie a ce niveau <img data-src=" /><img data-src=" />




euh, j’ai rien vu, ou ça doit être du fake :|



misterB
Le 02/09/2014 à 13h49






RinSa a écrit :

euh, j’ai rien vu, ou ça doit être du fake :|



Je sais pas, j’ai pas été voir, mais si il y a des photos d’une gamine de 16 ans a poil c’est pas cool <img data-src=" /><img data-src=" />



spidy Abonné
Le 02/09/2014 à 13h55






RinSa a écrit :

euh, j’ai rien vu, ou ça doit être du fake :|




misterB a écrit :

Je sais pas, j’ai pas été voir, mais si il y a des photos d’une gamine de 16 ans a poil c’est pas cool <img data-src=" /><img data-src=" />



c’est bien elle mais contrairement aux aux victimes, il n’y a que des photos habillées.



dematbreizh Abonné
Le 02/09/2014 à 14h18






misterB a écrit :

C’est donc de la pédophilie a ce niveau <img data-src=" /><img data-src=" />




misterB a écrit :

Je sais pas, j’ai pas été voir, mais si il y a des photos d’une gamine de 16 ans a poil c’est pas cool <img data-src=" /><img data-src=" />


Je ne veux pas jouer sur les mots (ou les chiffres) mais 16 ans n’a rien à voir avec la pédophilie. Ce n’est pas pour rien qu’en France il y a un age de majorité sexuellehttp://fr.wikipedia.org/wiki/Majorit%C3%A9_sexuelle_en_France
(soit aujourd’hui de 15 à 18 ans)



John Shaft Abonné
Le 02/09/2014 à 19h55






gokudomatic a écrit :

Je t’assure, ce n’est pas VincentH qui l’a inventé.<img data-src=" />



Oui, je m’en doutais bien <img data-src=" />



psn00ps Abonné
Le 05/09/2014 à 19h45

Qui a vu sur la capture que ce script continue après avoir trouvé ? <img data-src=" /><img data-src=" />