Lorsque des photos intimes ont échappé dimanche soir à Jennifer Lawrence et à d'autres célébrités, deux hypothèses principales furent envisagées : le pirate avait infiltré la plateforme iCloud, ou bien il avait deviné les réponses aux questions de sécurité, qui permettent de passer outre tous les autres dispositifs de sécurité. Cette dernière hypothèse était la plus probable, car les réponses à la majorité des questions proposées par Apple sont, dans le cas de célébrités, publiques.
Pourtant il se pourrait que la négligence ne vienne pas des célébrités, qui devraient délibérément donner de fausses réponses, mais d'Apple.
Une négligence d'Apple ?
La veille de la fuite, le prestataire d'audit en sécurité HackApp avait effectivement révélé qu'un des services exploitant les comptes Apple ID était vulnérable aux attaques par brute force. Habituellement un mécanisme limite le nombre de tentatives de connexion à un compte pour empêcher qu'un malfaiteur n'automatise la saisie de toutes les combinaisons possibles. Mais l'API du service Localiser mon iPhone (Find my iPhone) ne disposait pas d'une telle protection. Du moins jusqu'à maintenant, puisqu'Apple vient de combler la faille, selon un journaliste du site Internet américain ZDNet.Il suffisait donc à quelqu'un connaissant cette faille d'obtenir ou de deviner les identifiants de ses victimes (des adresses email icloud.com), puis de laisser un programme tester autant de mots de passe que nécessaire.
Le pirate déjà identifié par la communauté Reddit ?
Cette méthode est à la portée du premier venu, si bien qu'en seulement quelques heures un membre de la communauté Reddit pense avoir identifié l'auteur de la fuite, en croisant simplement les messages du pirate auto-proclamé avec les informations personnelles qu'il a laissées dans une capture d'écran.Les autorités, diligentées par certaines victimes, dont Jennifer Lawrence, ne devraient donc pas tarder à mettre la main sur l'imprudent. Si ce n'est pas déjà fait.
Contenus relatifs