Le groupe de Cupertino a dû faire face à la fuite de photos de célébrités nues issues de comptes Apple juste avant la présentation de ses iPhone 6 et de la diffusion d'iOS 8 avec sa capacité à récupérer des données médicales personnelles.

Si la firme californienne a reconnu que la fuite provenait de comptes Apple, elle a nié toute faille ou vulnérabilité dans ses systèmes et mis le piratage sur le compte d'une attaque classique cherchant à deviner les identifiants et mots de passe des utilisateurs...tout en annonçant le renforcement de la sécurité de iCloud par une authentification à deux facteurs.

Pourtant, affirme le Daily Dot, Apple était au courant d'une faille de sécurité donnant sinon un accès aux données personnelles stockées dans iCloud au moins un bon moyen pour tenter de passer outre les protections en place, et ce depuis au moins mars 2014. Des emails adressés au groupe par le développeur Ibrahim Balic alertaient sur le danger d'une technique permettant d'accéder aux comptes iCloud.

Apple iCloud vulnerabilite

La méthode de Balic permet notamment de contrer le système de protection contre une attaque directe qui consiste à essayer un grand nombre de combinaisons jusqu'à tomber sur celle qui donne accès au compte.

Traditionnellement, le système empêche de nouvelles tentatives après un nombre défini d'essais mais Ibrahim Balic affirmait au moins de mars 2014 que sa technique lui avait permis de tester plus de 20 000 combinaisons sur n'importe quel compte et signalait la vulnérabilité en vue de sa correction.

Or c'est bien par une attaque de ce type que les comptes Apple de célébrités semblent avoir été piratés, sans confirmer que c'est la technique du développeur qui a été utilisée. Ce qui transparaît par ailleurs des emails publiés par le Daily Dot, c'est que la vulnérabilité n'était toujours pas corrigée au mois de mai et que l'interlocuteur du développeur en était toujours à demander des détails sur sa technique.

Y-a-t-il eu un manque de réactivité de la part du groupe californien qui a été exploité par des personnes malintentionnées ou la vulnérabilité décrite par Ibrahim Balic en mars n'a-t-elle rien à voir avec la fuite des clichés de célébrités en septembre ? Il manque encore des pièces au puzzle.

Source : The Daily Dot