Comptes iCloud compromis : le déblocage contre une rançon
Peu importe l'épaisseur de la muraille si la porte reste grande ouverte
En Australie, plusieurs personnes ont vu leur Mac ou leur appareil iOS être bloqué. Une attaque permettant à l’auteur de réclamer une rançon de 100 dollars en moyenne pour retrouver l’usage de l’appareil. Explications.
Des appareils iOS et des Mac bloqués contre rançon
Le site The Age rapporte que plusieurs utilisateurs de produits Apple ont été victimes d’une attaque un peu particulière, mais simple dans son concept. Le pirate, qui se présente sous l’appellation Oleg Pliss, bloque l’appareil et demande une somme d'argent allant de 50 à 100 dollars. Il s’agit ni plus ni moins que d’une rançon pour retrouver l’usage de son appareil.
En, l’espace de quelques jours, les forums officiels d’Apple se sont remplis de témoignages pour décrire le problème. Ici, on peut ainsi voir un utilisateur expliquant que le message est arrivé sur son iPad, mais que son iPhone affichant lui aussi la demande de rançon. Cette dernière devait par ailleurs être envoyée via PayPal vers un compte Hotmail spécifique. D’autres témoignages font état de cas similaires avec les Mac.
Des comptes iCloud compromis
Quel est le point commun entre tous ces appareils ? Les utilisateurs auraient-ils été victimes de malwares pouvant affecter à la fois OS X et iOS ? L’explication est beaucoup plus simple : le ou les pirates se sont servis des comptes iCloud.
Le compte, réclamé par Apple pour valider les achats sur iTunes et l’App Store, s’accompagne de mesures de sécurité. Nous en avons parlé plusieurs fois récemment dans nos colonnes à la faveur de plusieurs lois votées aux États-Unis pour obliger les constructeurs de smartphones à équiper leurs produits de protections contre le vol. iCloud, tout comme les comptes Microsoft et Google, donnent accès à des fonctionnalités permettant de :
- Bloquer le téléphone à distance via un code
- Trouver sa localisation s’il est allumé
- Faire afficher un message particulier sur l’écran
- Provoquer une sonnerie spéciale
- Effacer ses données à distance
Et c’est bien de piratage de compte iCloud que l’on parle, puisque le pirate, une fois en possession des identifiants, peut accéder aux fonctionnalités que nous venons de citer. Il peut ainsi déclencher le blocage des appareils liés au compte et, puisqu’il est maître du compte, ne pas rendre son contrôle avant d’avoir été payé.
Notez que les appareils configurés avec un code de verrouillage ne peuvent pas être affectés par le problème. En effet, c’est par ce biais que le pirate bloque les appareils, mais un code ne peut pas être ajouté à distance si l’utilisateur en a déjà configuré un. En outre, cette prise de contrôle ne peut pas se faire si l’authentification en deux étapes a été activée dans le compte iCloud.
La question de l'obtention des identifiants
Car la vraie question qui demeure est : comment le pirate a-t-il pu prendre possession de ces comptes ? La multiplication des cas tend en effet à indiquer qu’il possède une liste de comptes auxquels s’attaquer, sans doute en tâchant de deviner les mots de passe. Ce qui soulève évidemment le problème de la complexité de ces derniers, sur laquelle nous reviendrons. Selon MacG, cette liste de comptes pourrait être une conséquence d’une série de problèmes avec les sites d’Apple, dont certains comportaient des failles de sécurité importantes. Il pourrait également s’agir du piratage préalable d’un serveur en vue d’en récupérer
Le problème semble pour le moment circonscrit à l’Australie, mais ceux qui sont affectés n’ont pour le moment pas d’autres choix que de contacter Apple. D’après plusieurs témoignages, la firme prend le problème très au sérieux mais n’a pas réellement de solution pour le moment. Les opérateurs de téléphonie australiens, concernés de près, ont également promis de revenir vers les utilisateurs touchés prochainement.
La question des mots de passe est dans tous les cas aussi classique que dangereux. Pour protéger un compte aussi sensible qu’iCloud, qui synchronise des données, sauvegarde des photos et débloque les achats, il faut donc mettre en place une protection idoine. Le mot de passe principal doit être assez long (huit caractères au strict minimum), comporter des minuscules, des majuscules, des chiffres, au moins un caractère spécial (tiret, point, parenthèses…). Encore plus important : ne jamais choisir de mots du dictionnaire et des informations évidentes tels que le prénom d’un des enfants, une date de naissance, le nom de jeune fille et ainsi de suite.
Commentaires (46)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 27/05/2014 à 10h27
Hello, I’m a PC.
Hello, I’m a Mac, I mean… I’m a man, Inside your Mac… No, I’m not Steve Jobs but, yes, I want your money too.
Switch… [cut]
Le 27/05/2014 à 11h05
Le 27/05/2014 à 11h12
Le 27/05/2014 à 11h48
honnetement plutot que de devoir faire ajouter des caracteres speciaux, des chiffres des lettres des majuscules et minuscules, qu’on nous permette de mettre des mots de passe tres long genre “je ne sais pas quoi mettre comme mot de passe alors en voila un”
et oui des mots banal meme pas la moindre majuscule et encore moins d’accents.
sauf que il fait 63 ou 64 caracteres de long…
donc 26^64 possibilites.
un dico de mots ???
meme en connaissant le nombre de mots la langue francaise usuelle contient plusieurs dizaines de mots mais meme en considerant 3500 a 5000 mots courants on obitent seulement 3500^14.
alors avant de casser ca en force brute… et au moins c’est vahcmenet plus facile a se souvenir que GT64!x3$47ek
Le 27/05/2014 à 11h50
Le 27/05/2014 à 11h53
Le 27/05/2014 à 12h29
Le 27/05/2014 à 12h38
“Le mot de passe principal doit être assez long (huit caractères au strict minimum), comporter des minuscules, des majuscules, des chiffres, au moins un caractère spécial (tiret, point, parenthèses…). Encore plus important : ne jamais choisir de mots du dictionnaire et des informations évidentes tels que le prénom d’un des enfants, une date de naissance, le nom de jeune fille et ainsi de suite.”
" />
Wikipedia[img]https://sslimgs.xkcd.com/comics/password_strength.png[/img]
NON NON et NON !!
Il faut arrêter avec ces conseils à la con. Pour que ce genre de conseil soit suffisant, il faut des mot de passe totalement aléatoires et pas du 3L77t speak, qui augmente que d’un bit ou 2, la sécurité.
Hashcat peut faire 8 milliards de tentatives par seconde, pour trouver un mot de passe.
Si vous voulez un mot de passe qui déchire prenez _au hasard_ entre 5 et 8 mots du dictionnaire. Genre vous ouvrez un dictionnaire et vous pointez un mot avec le doigt. Pas besoin de symbole à la con, que vous oubliez en 5 minutes.
5 c’est pour lutter contre les hacker, 8 c’est plus contre la NSA.
Le 27/05/2014 à 12h49
Le 27/05/2014 à 13h07
Le 27/05/2014 à 13h23
Le 27/05/2014 à 13h36
Le 27/05/2014 à 14h11
Le 27/05/2014 à 14h49
Le 27/05/2014 à 15h28
Le 28/05/2014 à 06h16
Apple a répondu. En gros, elle dit aux utilisateurs d’arrêter d’être des cancres et d’utiliser le même mot de passe partout parce que iCloud n’a pas été compromis.
http://www.zdnet.com/icloud-not-compromised-in-apple-id-attack-apple-7000029914/
Le 27/05/2014 à 08h45
La double authentification, il n’y a que ça de vrai !
Le 27/05/2014 à 08h46
“Le mot de passe principal doit être assez long (huit caractères au strict minimum), comporter des minuscules, des majuscules, des chiffres, au moins un caractère spécial (tiret, point, parenthèses…).”
Il me semble justement que la création d’un Apple ID est assez pointue à ce niveau (dans le sens ou Apple n’accepte pas les mots de passe trop simples).
Après c’est vrai que la question du “comment ils ont récupérés les identifiants” est assez inquiétante. En espérant que Apple communique vite fait là dessus, et surtout qu’elle corrige la faille éventuelle.
Le 27/05/2014 à 08h46
Le 27/05/2014 à 08h47
Le 27/05/2014 à 08h50
C’est une super idée, les iUsers sont tellement habitués à payer pour rien qu’ils vont prendre ce message pour un truc normal et vont une fois de plus raquer. Le mec va se faire mass pognons.
" />
Le 27/05/2014 à 08h52
Une appli sur ton tél (1 seule appli par titulaire sur 1 seul appareil).
" />
Un MDP sur l’appli.
Tu te connectes sur le web sur HSBC.
La tu donnes un code unique 11 chiffres.
Puis une question secrète.
Puis tu prends ton tél et tu entre ton code secret spécial tél.
La tu demandes un jeton unique. Tu as 30 secondes pour le rentrer sur la page web.
Un virement ? Ok : en plus, tu demandes un code unique pour une opération…
Appli perdue ? Un service spécial 0800 surfacturé pour tout réinitialiser.
La procédure d’initialisation de l’application prend 20 minutes avec le tél. en main et le navigateur.
Pas de 3G, pas de chocolat
Edith : @WereWindle
Le 27/05/2014 à 08h52
Le 27/05/2014 à 08h55
Le 27/05/2014 à 08h56
Le 27/05/2014 à 08h56
Le problème des mots est dans tous les cas aussi classique que dangereux.
certes
edit: oubliez ce que j’ai dit svp, merci
Le 27/05/2014 à 08h59
Le 27/05/2014 à 08h59
bientot le piratage de compte nextinpact : si tu veux récupérer ton compte, fais moi un paiement de 150 dollars sur paypal
" />
Le 27/05/2014 à 09h01
Le 27/05/2014 à 09h02
Considérant qu’on sait que les iphone ont au moins une fonctionnalité d’espionnage cachée nommée dropoutjeep pour la NSA, il en existe probablement d’autres, peut-être que ces pirates ont trouvé une méthode pour s’en servir ?
Le 27/05/2014 à 09h02
Le 27/05/2014 à 09h05
Le 27/05/2014 à 09h07
Le 27/05/2014 à 09h13
Le 27/05/2014 à 09h15
Le 27/05/2014 à 09h18
Le 27/05/2014 à 09h21
Le 27/05/2014 à 09h22
Le mot de passe principal doit être assez long (huit caractères au strict minimum), comporter des minuscules, des majuscules, des chiffres, au moins un caractère spécial (tiret, point, parenthèses…).
La passphrase, rien de plus sécurisé et simple à mémoriser, tout en étant possible de la rendre complexe à deviner. XKCD en parle ici.
Le 27/05/2014 à 09h33
Le 27/05/2014 à 09h42
Le 27/05/2014 à 09h42
Le 27/05/2014 à 09h43
Le 27/05/2014 à 09h50
Le 27/05/2014 à 10h00
Donc d’après ce que tu dis, Apple n’a pas les hash des mots de passes mais les mots de passes eux même et en fait commerce ?
Non!
Ce que je dis, c’est qu’à partir du moment où une donnée (quel qu’elle soit et quel que soit sa forme) est sur une machine autre que la tienne, cette donnée est accèssible par celui qui l’ héberge.
De plus, si les systèmes de sécurité, en particulier lorsqu’ils sont mis en place de façon aussi “fine” (sic) comme on a pu le voir ces dernière années (les exemples ne manque pas) ne sont finalement que de faibles barricades pour “Mr tout le monde” pas pour des spécialistes et encore moins pour des infrastructures tel que les géants du web qui ont la puissance de calcul.
La sécurité ainsi que l’anonymat sur le net n’est qu’ illusion.
N’oublions pas que la plupart du temps, on fait du Minitel 2.0 (modèle kiosque) et pas de l’Internet comme il a été conçu à la base.
Le 27/05/2014 à 10h15
azertyuiop
Le 28/05/2014 à 07h27
Hello,
Juste un mot pour dire :
1/ Apple est plutôt relou pour les MDP, qui doivent avoir une longueur minimale + au moins une majuscule + au moins 2 chiffres…. + double authentification etc etc. Je ne sais pas ce qu’il s’est dit plus haut, mais je crois bien que le pb n’est pas là
2/ Voilà ce qu’il se dit ailleurs, et il faut reconnaître qu’il y a une désolante mais forte probabilité : “Selon un expert de sécurité interrogé par le quotidien australien, le hacker a pu récupérer les mots de passe des utilisateurs au cours de précédentes cyberattaques, comme celle d’eBay la semaine dernière ou celle d’AOL en avril. Et comme les internautes se servent souvent du même mot de passe pour sécuriser différents comptes, il lui a été facile de bloquer les comptes iCloud des imprudents.”