Pour Apple, la sécurité des comptes iCloud n’a pas été compromise
Un amoncellement de mauvaises pratiques chez les utilisateurs ?
Apple a réagi à la vague de comptes iCloud actuellement compromis en Australie. Selon la firme, la sécurité de son service n’est pas mise en cause. Cependant, elle demande aux utilisateurs de changer leurs mots de passe et d’appliquer certaines règles élémentaires pour les sécuriser.
Prendre le contrôle des comptes et des fonctions de sécurité
Hier, nous nous faisions l’écho d’un problème de sécurité touchant des utilisateurs de comptes iCloud en Australie. Des cas manifestes de piratages sont en effet apparus les derniers jours : des appareils iOS et des Mac se retrouvaient bloqués contre rançon. Le pirate, qui se présentait sous l’identité « Oleg Pliss », s’était débrouillé pour verrouiller les appareils avec un code PIN. En échange d’une somme allant de 50 à 100 dollars et payable via PayPal, il débloquait les machines.
Il était rapidement apparu que le pirate s’était directement servi des comptes iCloud pour verrouiller de cette manière. Ces comptes permettent en effet de réaliser plusieurs actions liées à la sécurité. Si un utilisateur se fait par exemple voler son iPhone, il peut se rendre sur iCloud.com et le localiser. Il pourra également le verrouiller avec un code, lui faire afficher un message, le faire sonner ou encore provoquer à distance l’effacement de ses données personnelles.
Pour Apple, le problème ne vient pas d'iCloud
Et c’est justement le verrouillage par code qui semblait avoir été utilisé. Ce qui posait l’évidente question de la manière dont le pirate avait accédé aux comptes. Il fallait en effet obtenir une liste d’adresses en @me.com ou @icloud.com puis découvrir les mots de passe. De fait, une autre question venait ensuite : le pirate avait-il récupéré une liste sur un serveur préalablement attaqué ou les comptes d’Apple présentaient-ils un défaut de sécurité ?
Pour la firme de Cupertino, la réponse est claire : « Apple considère très sérieusement la sécurité et iCloud n’a pas été compromis durant cet incident. Les utilisateurs touchés devraient changer leur mot de passe Apple ID aussi vite que possible et éviter d’utiliser le même nom d’utilisateur et le même mot de passe sur de multiples services. Tout utilisateur qui a besoin d’aide supplémentaire peut contacter AppleCare ou se rendre à l’Apple Retail Store le plus proche ».
La sécurité des comptes iCloud n’a donc pas été compromise et le pirate aurait trouvé ses informations ailleurs. Cependant, la réponse d’Apple permet de rebondir sur un aspect important de la sécurité : la réutilisation des mots de passe. Comme nous le rappelions ce matin dans notre actualité sur le piratage d’Avast, la complexité des mots de passe n’est pas le seul critère à prendre en charge. En effet, plus un utilisateur réutilise le même mot, plus il a de chances d’être piraté.
Piratage ou capitalisation sur les mauvaises habitudes des utilisateurs ?
Ce qui permet d’ailleurs d’envisager une hypothèse sur la manière dont ces pirates ont été réalisés. Sans parler de piratage d’un serveur ou autre, le pirate a potentiellement travaillé depuis d’autres comptes. Les utilisateurs ont souvent tendance à répéter le préfixe des adresses email pour se simplifier la vie, ce qui n’est d’ailleurs pas un problème. Mais s’ils ont réutilisé les mêmes mots de passe, il a suffi au pirate de repérer des comptes emails classiques, comme ceux de Microsoft, Google ou Yahoo, et de tenter sa chance en appliquant la formule « suffixe différent, mais mot de passe identique ».
L’explication de ce piratage intéresse d’ailleurs tout autant les victimes qui se rendent dans les forums officiels d’Apple pour en discuter. Alors que le nombre de cas se multiplie et que d’autres pays anglo-saxons comme les États-Unis, le Royaume-Uni et le Canada sont touchés, la discussion se penche davantage sur l’origine du problème et la part de responsabilité d’Apple.
On notera d’ailleurs que ces problèmes de sécurité et les discussions qui en découlent surviennent quelques jours avant la conférence d’ouverture de la WWDC, lundi soir. La firme y présentera, selon les rumeurs, un nouveau système domotique pour faire des appareils iOS de vraies télécommandes pour toute la maison.
Commentaires (17)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 28/05/2014 à 14h26
Selon la firme, la sécurité de son service n’est pas mise en cause. Cependant, elle demande aux utilisateurs de changer leurs mots de passe et d’appliquer certaines règles élémentaires pour les sécuriser.
Je vois bien le mail Apple
Bonjour,
nous n’avons avons absolument aucune intrusion dans nos systèmes parfaitement sécurisés mais juste pour le plaisir, merci de changer de mot de passe.
Mais c’est pas du tout parcequ’il y a eu intrusion hein, surtout pas.
Le 28/05/2014 à 14h57
Le 28/05/2014 à 15h03
3/4h, 2 commentaires, et pas un seul troll sur Apple, je suis déçu.
Je m’en vais donc en weekend en faisant “nananananèreuh” à tout ceux qui ne font pas le pont.
Le 28/05/2014 à 15h09
Le 28/05/2014 à 15h24
Le 28/05/2014 à 15h40
Le 28/05/2014 à 16h02
Ceux qui ont un iTruc + iBidule + iMachin et un iChouette bardé de iCloud temple run angryshit et autres trucs qui leur font croire qu’ils sont plus efficaces au travail ou au lit oublient le principal ; vivre.
Le v’la ton troll.
Mais c’est p’tetre pas tant un troll que ça.
Le 28/05/2014 à 16h43
Le 28/05/2014 à 20h27
Le 28/05/2014 à 21h54
J’ai quand même surpris une conversation dans un café,
où l’un des types affirmait qu’il était passé sous mac
parce que windows était pas multitâche.
Bref, Apple c’est plus cher, mais c’est multitâche et super secure
Le 28/05/2014 à 22h02
Le 29/05/2014 à 15h00
Le 29/05/2014 à 15h02
Le 29/05/2014 à 15h18
Le déblocage de icloud est gratuit ,en cherchant un peu sur le net.
Le 29/05/2014 à 17h06
Le 29/05/2014 à 17h07
Fais de tes clients des assistés nés et tu ne récolteras que l’écume de leur inaptitude.
Le 30/05/2014 à 10h01