Il y a quelques jours, plusieurs photos intimes de célébrités se sont retrouvées sur la toile. Ces photos, volées par des hackers, provenaient du système iCloud d’Apple. Aujourd’hui, Apple a enfin communiqué afin de rejeter toute responsabilité dans l’affaire, expliquant que ces piratages n’ont pas exploité de failles dans son système. En effet, les pirates auraient réalisé des attaques ciblées, vraisemblablement du brute force, afin de trouver les mots de passe des utilisateurs. Mais est-ce vraiment une excuse?
iCloud est le service de cloud computing d’Apple. Il permet à ses utilisateurs de mettre leurs diverses données, musiques, photos et autres documents sur un serveur afin qu’ils puissent y avoir accès quel que soit leur appareil et également de les partager plus simplement avec d’autres utilisateurs. Étant donné la nature du service, il va de soi que la sécurité doit être une priorité.
Apple propose d’ailleurs une fonctionnalité bien particulière pour ses utilisateurs, « Localiser mon iPhone », qui permet de localiser la position des appareils de l’utilisateur, de sauvegarder leur contenu sur iCloud pour ensuite le supprimer de l’appareil. Très pratique en cas de vol, cette option semble pensée pour empêcher la compromission des données. Mais malgré cette fonctionnalité avancée, Apple ne mettrait pas en place une politique de sécurité de base sur les mots de passe ?
Les mots de passe, un des plus gros problèmes de la sécurité informatique
Aujourd’hui, l’immense majorité des services informatiques que nous utilisons sont protégés par un mot de passe. Or, les mots de passe sont un moyen médiocre de protéger l’accès aux données, les méthodes de piratage pour les récupérer étant très nombreuses. Des alternatives sont d’ailleurs recherchées pour remplacer cette donnée trop sensible. Mais en attendant de trouver mieux, on informe énormément les utilisateurs sur les principes de base de sécurité des mots de passe : ceux-ci se doivent d’être longs et de contenir lettres minuscules, majuscules, chiffres et caractères spéciaux. Les mots de passe se doivent d’être différents pour chaque service et de ne pas être notés quelque part au risque que quelqu’un les récupère. Si le respect de ces règles ne vous sauveront pas nécessairement d’un piratage, elles diminuent les risques. Mais ces règles ne sont pas toujours connues, ou bien sont négligées par les utilisateurs qui pensent être à l’abri de toute tentative de piratage. Pour s’assurer que les utilisateurs possèdent bien un mot de passe complexe, la plupart des services instaurent ce qu’on appelle une politique des mots de passe en obligeant les utilisateurs à choisir un mot de passe d’une longueur minimum qui respecte divers critères comme la présence de chiffres ou de caractères spéciaux. Politique qu’Apple n’a vraisemblablement pas imposé à ses utilisateurs. Alors oui, on peut reprocher à ces célébrités d’avoir commis un délit de naïveté en utilisant des mots de passe trop simples et en n’activant pas la double authentification. Mais on peut aussi reprocher à Apple de ne pas les avoir empêchées de prendre ce risque, surtout pour un système aussi sensible.
De plus, si les mots de passe ont été compromis, la faute ne vient pas seulement de leur simplicité. En effet, si Apple ne communique pas sur la méthode utilisée par les pirates, il semble assez probable que celle-ci soit une très basique attaque par force brute. Cette attaque consiste à tester toutes les combinaisons possibles via un algorithme qui viendrait tôt ou tard à bout de n’importe quel mot de passe. Pour éviter cette attaque, les systèmes sont généralement pourvus de protection anti brute force qui va bloquer les tentatives au bout d’un certain nombre d’échecs, ou détecter qu’il s’agit d’un script informatique, en comptabilisant par exemple le nombre de tentatives par minute. Il semblerait donc qu’Apple en ait été dépourvu, ce qui serait une très grossière erreur de sa part.
Par ailleurs, plusieurs experts en sécurité informatique pointeraient la possible utilisation d’un script en python, du nom de iBrute, sur le site de partage de code GitHub, qui aurait justement permis d’exploiter une faille dans la fameuse fonctionnalité « Localiser mon iPhone » afin de réaliser une attaque de force brute. La faille aurait été vraisemblablement corrigée depuis , mais elle remet en doute la véracité du communiqué d’Apple puisqu’il s’agirait bel et bien de l’exploitation d’une faille dans son système.
L’enquête n’est pas finie et tout reste encore à prouver, mais cette attaque tombe très mal pour l’image d’Apple à quelques jours d’une keynote.
