Apple corrige une faille de sécurité iCloud après le piratage et la fuite de photos de célébrités

Le jour suivant la fuite en ligne de photos privées et nues de l’actrice Jennifer Lawrence et d’autres célébrités d’Hollywood, Apple aurait corrigé une faille de sécurité qui aurait pu permettre aux pirates d’accéder aux comptes iCloud.

Il a été rapporté que la vulnérabilité avait été exposée sur le site de partage de code Github. Il est dit que des développeurs ont découvert que la fonctionnalité « Localiser mon iPhone » d’Apple pouvait être compromise par des attaques par force brute qui essaient mot de passe après mot de passe jusqu’à ce que le bon soit trouvé pour déverrouiller un compte. De là, les pirates auraient pu être en mesure de découvrir l’Apple ID d’un utilisateur et d’accéder à son stockage iCloud. Github dit qu’Apple a corrigé le problème.

Cependant, il n’est pas clair si c’est la même faille de sécurité, ou la seule, qui a permis aux pirates de récupérer les photos de Lawrence et de 20 autres célébrités d’Hollywood.

Comme indiqué dans notre précédent article, certaines des photos semblent provenir de différents appareils et peuvent avoir été accumulées sur une longue période.

Le rédacteur en chef senior de CNET, Dan Ackerman, a déclaré « Ce n’est peut-être pas une seule personne, cela peut être un groupe de personnes, et ce sont peut-être des photos qui ont été rassemblées au cours de mois ou d’années, »

Des publications en ligne sur les sites 4chan et Reddit ont déclaré que des photos de plus de 100 célébrités avaient été exposées lorsqu’un pirate a pénétré dans leur stockage basé sur le cloud, bien que des agences de presse indépendantes aient indiqué que seules des images de 20 célébrités dans des positions intimes et personnelles auraient pu être divulguées.

Des photos de l’actrice Jennifer Lawrence, star de « Hunger Games », dans divers états de déshabillage sont apparues en ligne, ainsi que des photos privées de l’actrice Mary Elizabeth Winstead, du mannequin Kate Upton, et d’autres. Un porte-parole de Lawrence a déclaré que les publications sont « une violation flagrante de la vie privée » et a ajouté que « les autorités ont été contactées et poursuivront quiconque publie les photos volées de Jennifer Lawrence. »

Winstead et Upton ont reconnu que les photos volées d’elles étaient réelles, tandis que deux autres victimes, la chanteuse Ariana Grande et la star de Nickelodeon Victoria Justice, ont déclaré que les photos publiées d’elles étaient des faux.

D’autre part, Apple a déclaré lundi qu’elle « enquête activement » pour savoir si une violation de sécurité de son service iCloud était responsable de la fuite.

« Nous prenons la vie privée des utilisateurs très au sérieux et enquêtons activement sur ce rapport, » a déclaré la porte-parole d’Apple, Natalie Kerris, à Recode.

L’attaquant, encore inconnu, avait un autre avantage => Apple permet un nombre illimité de tentatives de mot de passe. Normalement, les systèmes limitent le nombre de fois qu’une personne peut essayer de se connecter à un système avec un mot de passe incorrect avant que le compte ne soit complètement verrouillé. Apple a depuis corrigé cet aspect de la vulnérabilité.

“ Les attaquants n’auraient jamais dû être autorisés à faire un nombre illimité de tentatives, ” a déclaré Kindlund.

Et bien qu’il n’y ait aucune preuve directe liant l’iCloud d’Apple à l’attaque, le timing de l’incident semble coïncider avec une conférence donnée par des chercheurs en sécurité sur le sujet de la sécurité sur iCloud.

**

Le programme iBrute a été créé par des chercheurs en sécurité en Russie comme preuve de concept et a été démontré dans le cadre d’une conférence sur la sécurité à Saint-Pétersbourg plus tôt ce mois-ci.