Le PDG déclare que les hacks de photos iCloud n'étaient pas de leur faute

Apple Inc. a déclaré qu’elle prévoyait des mesures supplémentaires pour empêcher les hackers d’accéder aux comptes des utilisateurs, mais a nié qu’une attitude laxiste envers la sécurité ait permis aux intrus de publier des photos NSFW de célébrités sur Internet.

La société a également réitéré qu’Apple élargira son utilisation d’un système de sécurité amélioré connu sous le nom d’« authentification à deux facteurs », qui exige qu’un utilisateur, ou un hacker, ait deux des trois éléments suivants pour accéder à un compte : un mot de passe, un code à usage unique à quatre chiffres, ou une clé d’accès longue donnée à l’utilisateur lors de son inscription au service.

Lorsque la fonctionnalité est activée, Apple exige que les utilisateurs complètent deux de ces étapes pour se connecter à un compte iTunes depuis un nouvel appareil.

Dans le cadre de la prochaine version de son système d’exploitation mobile iOS, qui doit sortir plus tard ce mois-ci, la fonctionnalité couvrira également l’accès aux comptes iCloud depuis un appareil mobile.

Apple a déclaré qu’une majorité d’utilisateurs n’utilisent pas l’authentification à deux facteurs, elle prévoit donc d’encourager plus agressivement les gens à l’activer dans la nouvelle version d’iOS. Si les célébrités avaient ce système en place, les hackers n’auraient pas eu l’occasion de deviner la bonne réponse aux questions de sécurité, a déclaré Apple. Le PDG d’Apple, Tim Cook, a également minimisé tout problème de surveillance de la sécurité de la part d’Apple concernant la fuite.

Bien que l’authentification à deux facteurs ait été disponible sur le web, les utilisateurs pourront bientôt l’activer depuis des iPhones et des iPads également—un trou notable dans le menu des options de sécurité jusqu’à présent, étant donné la quasi-ubiquité des appareils Apple sur certains marchés, comme les États-Unis. Ainsi, en plus d’un identifiant Apple et d’un mot de passe, les utilisateurs auront la possibilité d’exiger un code PIN envoyé à l’appareil par SMS ou une clé générée au moment de l’inscription.

De plus, dans environ deux semaines, Apple commencera à alerter les utilisateurs par e-mail et notifications push lorsqu’un nouvel appareil essaie de se connecter à un compte iCloud pour la première fois, et lorsque quelqu’un tente de restaurer des données iCloud sur un nouveau point de terminaison. Il enverra également une notification push lorsqu’un changement de mot de passe est tenté ou effectué. **

*Apple a été l’objet de publicités négatives à la suite de la fuite de photos. Le vol, qui a touché environ 100 célébrités sans méfiance, était à l’origine considéré comme une attaque par force brute utilisant un ensemble d’environ 500 mots de passe courants pour tenter de pénétrer aléatoirement dans les comptes. L’implication est qu’Apple n’avait fixé aucune limite au nombre de fois que les identifiants de compte pouvaient être essayés avant de verrouiller l’utilisateur.

Cependant, s’exprimant au Wall Street Journal, Cook a déclaré que les célébrités étaient devenues victimes du piratage de leurs comptes iCloud parce que les auteurs avaient réussi à hameçonner les identifiants, ou avaient pu répondre correctement aux questions de sécurité—replaçant ainsi la responsabilité directement sur les épaules des célébrités elles-mêmes.

Mais M. Cook a déclaré que les mesures les plus importantes pour prévenir de futures intrusions pourraient être plus humaines que technologiques.

En particulier, il a déclaré qu’Apple aurait pu faire plus pour sensibiliser les gens aux dangers des hackers essayant de cibler leurs comptes ou à l’importance de créer des mots de passe plus forts et plus sûrs.

*“ Lorsque je prends du recul par rapport à ce terrible scénario qui s’est produit et que je me demande ce que nous aurions pu faire de plus, je pense à la sensibilisation,” a-t-il déclaré. “Je pense que nous avons la responsabilité d’intensifier cela. Ce n’est pas vraiment une question d’ingénierie.* “

* Les identifiants Apple et les mots de passe n’ont pas, a-t-il souligné, été divulgués ou volés à partir des serveurs de l’entreprise. Et, il a souligné la position pionnière de l’entreprise en matière de biométrie, avec le capteur d’empreintes digitales Touch ID dans son iPhone 5S.*

Apple a déclaré qu’elle travaille avec les forces de l’ordre pour enquêter sur l’incident et identifier les hackers. Un porte-parole a refusé de préciser combien de comptes d’utilisateurs avaient été compromis, citant l’enquête en cours.

“ Nous voulons faire tout ce que nous pouvons pour protéger nos clients, car nous sommes aussi outrés, sinon plus, qu’eux, ” a déclaré M. Cook.

Apple lutte pour préserver sa réputation de protection de ses utilisateurs avant une annonce majeure de produit la semaine prochaine. La société fait face à un type de publicité négative qu’elle a généralement réussi à éviter, une situation amplifiée par la popularité des victimes.