A qui la faute ? La question est sur toutes les lèvres depuis que des photos de célébrités nues piratées sur iCloud ont été diffusées par un hacker dimanche. S’il s’en est trouvé quelques uns pour estimer que les stars victimes du hacker étaient elles-mêmes responsables du fait d’avoir fait confiance à un tiers pour héberger des clichés aussi personnels, la responsabilité première d’Apple dans l’incident reste fortement suspectée.
En effet, The Next Web révèle qu’un script en Python est apparu il y a deux jours sur Github, qui permettait de découvrir le mot de passe iCloud d’une cible par la méthode bête et méchante de la « force brute » (tester tous les mots de passe possibles et imaginables jusqu’à trouver le bon), rendue possible par une faille dans le service « Localiser mon téléphone » d’Apple — un service déjà exploité par le passé par des hackers.
En principe, les fournisseurs de services en ligne mettent en place des protections qui évitent de répéter un nombre infini de tentatives de connexion. Au delà d’un certain nombre d’échecs, l’accès au compte est bloqué, ou au minimum suspendu pour un certain temps. Mais selon l’auteur du script, l’API de l’application « Localiser mon téléphone » n’était pas protégé par ce type de sécurité, permettant aux hackers de réaliser autant d’essais qu’ils le souhaitaient (il reste toutefois étonnant que même les serveurs ne soient pas configurés pour éviter le flood à partir d’une même adresse IP).
Apple aurait corrigé la faille ce lundi, confirmant implicitement qu’il pourrait s’agir de la méthode utilisée par le hacker. Désormais, le compte est verrouillé après cinq tentatives infructueuses.
La méthode est décrite dans ce document mis en ligne par @hackapp :
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.