Apple corrige une faille liée à iDict dans iCloud

Apple a corrigé une faille dans iCloud qui permettait aux hackers d’accéder au compte de n’importe qui

Apple a corrigé une vulnérabilité dans son service iCloud qui permettait à l’outil iDict de forcer les mots de passe des utilisateurs et de pirater les comptes des utilisateurs d’iCloud. L’outil iDict, dont l’auteur Pr0x13 prétend qu’il peut pirater n’importe quel compte utilisateur iCloud, a été publié par lui le jour de l’An et est disponible sur GitHub ici.

iDict utilisait une faille dans la sécurité d’Apple pour deviner à plusieurs reprises les mots de passe des utilisateurs, permettant aux hackers d’accéder à n’importe quel compte donné suffisamment de temps. Pr0x13 avait affirmé que le bug était “évident” et “n’était qu’une question de temps” avant que des hackers ou des cybercriminels ne le découvrent.

Pr014 avait déclaré que la faille dans iCloud d’Apple pouvait être utilisée pour contourner des systèmes de sécurité tels que les mots de passe, les questions de sécurité, et même l’authentification à deux facteurs. iDict fonctionnait en devinant le mot de passe d’un utilisateur en parcourant une longue liste de mots de passe couramment utilisés jusqu’à ce qu’il trouve le bon. Apple bloque ces attaques par “force brute”, mais il semble qu’il y ait eu une faille dans sa sécurité qu’iDict a exploitée.

Les ingénieurs d’Apple ont travaillé d’arrache-pied pour résoudre cette faille en mettant en place un limiteur de taux. La fonctionnalité de limiteur de taux désormais en place bloque les utilisateurs qui essaient d’accéder aux comptes iCloud plus de trois fois. Pr013 a également reçu le message qu’Apple avait corrigé la faille et s’est rendu sur Twitter. Il a averti les utilisateurs de ne pas utiliser iDict car cela signifierait que le testeur se verrait son propre iCloud verrouillé.

iDict est corrigé, cessez de l’utiliser si vous ne voulez pas verrouiller votre compte #TheMoreYouKnow — ! ? (@pr0x13) 2 janvier 2015

Apple a été entouré de controverse concernant iCloud en 2013 lorsque des hackers ont réussi à pirater plusieurs comptes iCloud de célébrités d’Hollywood et à divulguer des photos personnelles sur des sites de partage d’images populaires comme 4Chan. Les fuites ont forcé Apple à mettre en œuvre l’authentification à deux facteurs sur le service de stockage iCloud.

Il reste à voir si quelqu’un a exploité la faille dans iCloud pendant la période de publication de l’outil par Pr0x13 et le patch d’Apple avec le limiteur de taux.