Vol de photos de stars sur iCloud : faille ou pas faille ?
Le service Find My iPhone d’Apple était vulnérable aux attaques en force brute. Mais cela constitue-t-il une faille ? Et quelles leçons en tirer ?
Les photos intimes de nombreuses actrices hollywoodiennes auraient été dérobées au sein du service iCloud d’Apple durant le week-end dernier. Le terme de faille est régulièrement évoqué. De quoi laisser à penser que la firme à la pomme aurait négligé de sécuriser l’un des moyens d’accès à son service, permettant ainsi à un pirate de s’y infiltrer. Pour l’heure, il semble plutôt que le vol de photos ait été rendu possible par l’utilisation de mots de passe trop simples par les actrices victimes, d’une part, et par la vulnérabilité du service Find My iPhone d’Apple aux attaques en force brute, d’autre part. Ainsi, samedi 30 août, un code source permettant de tester de manière automatisée des mots de passe sur le service d’Apple - pour finalement trouver le bon, pour un utilisateur donné -, a été déposé sur l’entrepôt GitHub. Un simple code de démonstration, dépourvu d’optimisations. Ce code utilisait une vulnérabilité : le service d’Apple ne bloque pas les comptes attaqués après plusieurs tentatives de connexion infructueuses. Ou du moins ne le faisait-il pas. Apple a changé ce comportement dès le 1er septembre. Mais entre temps, la recherche réussie de la combinaison adresse e-mail/mot de passe associée à Apple ID via Find My iPhone a permis d’accéder aux données associées à cet identifiant, à commencer par celles stockées dans le service iCloud, photos incluses.
De la robustesse des mots de passe
Du côté des utilisateurs, cet incident soulève, encore une fois, la question de la robustesse des mots de passe. Mais également de la vigilance quant à des services de plus en plus nombreux proposant le téléversement en tâche de fond de photos : les applications Dropbox ou Flickr, notamment, offrent de telles fonctionnalités. Mais tous les services en ligne ne sont pas égaux en matière de sécurité et il se peut qu'on ne souhaite pas télécharger ses photos personnelles sur de multiples services de stockage en ligne simultanément… La question devient encore plus prégnante pour les entreprises dont les collaborateurs sont susceptibles de prendre des photos, à caractère professionnel, avec leurs terminaux mobiles : l’incident iCloud du week-end souligne l’importance de politiques précises en faveur de mots de passe robustes, ainsi qu’en matière de services de stockage en ligne et d’applications installées sur les terminaux mobiles – ou tout du moins de leur configuration.
Et puis, à sa manière, cet incident plaide – comme d’autres avant – en faveur de la généralisation de l’authentification forte, à facteurs multiples, qu’Apple a d’ailleurs déjà commencé à mettre en place dans certains pays, ou que Google propose déjà largement. En cela, ce vol de photos personnelles renvoie à un autre incident récent : le vol de 1,2 milliard d’identifiants début août. Et déjà, à l’époque, de nombreuses voix s’étaient élevées pour appeler à l’utilisation de l’authentification à plusieurs facteurs, et, plus généralement, à l’intégration de la gestion des identités et des accès dans les projets des entreprises.