Discussion :

[Saverok]

Un truc m'énerve particulièrement dans cette histoire : de nombreuses personnes disent (ou pensent, comme moi) depuis longtemps que le cloud est une sorte de passoire plus ou moins hermétique qu'on nous recommande sans arrêt et pour tout, et pourtant toutes les affaires qu'on a connues dans les dernières années (tiens, les 0.7 pourcents de données perdues par Amazon par exemple...) n'ont pas modifié le comportement des clients et des fournisseurs, ils continuent a y mettre tout et n'importe quoi. Et voila que quelques célébrités sont a leur tour prises au piège, et c'est soudain une «prise de conscience» mondiale, un scandale, etc. Bienvenues dans le monde des gens normaux !

Cela reflête juste le manque total d'éducation du grand public qui n'a pas conscience de l'importance et de la non maîtrise de ses données
Cette affaire du "celb gate" est un exemple concret pour le grand public

Quand on a des gros titre "Orange a perdu X millions de données", c'est très flou pour le commun
Ca reste trop abstrait
Le grand public ne comprend pas en quoi c'est grave

Le plus choquant est que cette ignorance va jusqu'au sommet de l'Etat où nos politiques sont également totalement largués

Les entreprises ont un intérêt un maintenir le grand public dans l'ignorance
Il est grand temps que les pouvoirs publics fassent leur job

A quand des pub sur la sécurité des données à la TV ?? (sur le même principe que la sécurité routière)

[benjani13]

Cela reflête juste le manque total d'éducation du grand public qui n'a pas conscience de l'importance et de la non maîtrise de ses données
Cette affaire du "celb gate" est un exemple concret pour le grand public

Quand on a des gros titre "Orange a perdu X millions de données", c'est très flou pour le commun
Ca reste trop abstrait
Le grand public ne comprend pas en quoi c'est grave

Le plus choquant est que cette ignorance va jusqu'au sommet de l'Etat où nos politiques sont également totalement largués

Les entreprises ont un intérêt un maintenir le grand public dans l'ignorance
Il est grand temps que les pouvoirs publics fassent leur job

Les pouvoirs publics n'y connaissent rien et pire, ne s'y intéresse pas. Ce sont les premiers à se précipiter sur la toile pour faire parler d'eux, pour faire jeunes (tweet et compagnie), mais cela leur vaut en général un énorme retour de bâton. Ça montre bien qu'ils ne maitrisent pas du tout les codes d'internet.

A quand des pub sur la sécurité des données à la TV ?? (sur le même principe que la sécurité routière)

Pourquoi pas oui.

[hotcryx]

Le problème avec la notion de sécurité des mots de passe, c'est qu'elle est pensée pour des cerveaux humains.
Un humain ira moins souvent tester des mots de passes du style #~dzlkj564'@ alors que pour un logiciel, ça ne change quasiment rien (ils sont pensés pour tester tous les caractères de toute façon, donc que vous ne mettiez que des minuscules ou pas, au final c'est une question de secondes).
Il est souvent préférable d'utiliser une loooongue série de caractères (15 ou 20).

Pourquoi ? Regardez juste avec les minuscules (a-z donc), avec 1 caractère tu as 26 possibilités, avec 2 tu en as 676, avec 3 tu en as 17 576... Imaginez avec 20 maintenant. Ensuite, si vous rajoutez tous les symboles possibles, il faudra plusieurs décennies à un BruteForce pour cracker votre mot de passe.

Oui tu as raison mais ils (NSA?) ont remplacé l'algorithme de cryptage d'origine mathématiquement pour éliminer des milliers (si pas des millions) de possibilités. Accélérant les recherches.

[Hinault Romaric]

Photos des stars nues : Apple défend la sécurité d’iCloud
et affirme que les comptes ont été compromis suite à des « attaques très ciblées »

Suite à la publication de photos privées d’une centaine de célébrités nues, dont Jennifer Lawrence et Rihanna, après une violation de leur comptes iCloud, Apple avait annoncé avoir ouvert une enquête sur le sujet.

Après 40 heures d’investigations actives, la firme livre ses premières découvertes. Selon un communiqué publié par l’entreprise, la sécurité d’iCloud ne serait pas à blâmer dans cette affaire, car aucune faille de sa plateforme n’aurait été exploitée pour accéder à ces données.

« Lorsque nous avons appris le vol des données, nous étions indignés et avions immédiatement mobilisé les ingénieurs d’Apple pour découvrir la source. La confidentialité et la sécurité de nos clients sont de la plus haute importance pour nous », explique Apple, qui affirme que les pirates ont procédé à des attaques très ciblées sur les noms des utilisateurs, mots de passe et questions de sécurité, pour parvenir à compromettre leur comptes.

« Aucun cas que nous avons étudié ne résulte d’une violation dans n’importe quel système d’Apple, y compris iCloud ou Find my iPhone. Nous continuons à travailler avec la police pour aider à identifier les criminels impliqués », conclut la firme.

Apple note que ce type d’attaque est devenu assez fréquent sur internet, et invite les utilisateurs de ses services à toujours avoir recours à un mot de passe fort et à utiliser l’authentification à deux facteurs, qui nécessite l’utilisation d’un code de sécurité qui est envoyé par SMS ou via l'application « localiser mon iPhone » sur « un appareil de confiance » de l’utilisateur lors de la connexion.

Source : Apple

[Saverok]

Je vois mal Apple avouer son incompétence

Après 40 heures d’investigations actives

C'est une blague ???
Les gens sont assez bêtes pour se satisfaire de 40h d'investigation ????
Revient me voir après 40 jours et l'implication de plusieurs cabinets spécialisés indépendants et là, je pourrais envisager la bonne foi
Mais 40h ??? Ce n'est pas sérieux

Apple note que ce type d’attaque est devenu assez fréquent sur internet, et invite les utilisateurs de ses services à toujours avoir recours à un mot de passe fort et à utiliser l’authentification à deux facteurs, qui nécessite l’utilisation d’un code de sécurité qui est envoyé par SMS ou via l'application « localiser mon iPhone » sur « un appareil de confiance » de l’utilisateur lors de la connexion.

Alors pourquoi ne pas imposer la double authentification dans ce cas ???
C'est à Apple d'éduquer ses clients et de faire de la prévention
Même si la double authentification n'est pas pratique, ça rallonge la connexion, etc, etc
Apple a le crédit auprès de ses clients pour imposer cette méthode en leur expliquant que c'est le meilleurs moyen pour sécuriser l'accès
Ensuite, ces mêmes clients, éduqués par Apple, le feront sur les autres sites...
Mais non, on cède aux sirènes du marketing en proposant sans imposer, sachant pertinemment que les gens n'utiliseront pas ça car trop contraignant
Et lorsqu'une merde comme celle ci arrive, on peut dire que c'est la faute des clients qui ont des mdp trop faible

[kipkip]

"des pirates ont eu accès à des données mais il n y a pas de faille de notre coté"
ça a le don de m'irriter ce genre de réponse...

ça arrive à tout le monde de faire des erreurs mais il ne faut pas prendre ses propres clients pour des jambons...

A priori un brute force ne devrait plus fonctionner depuis quelques années!
Même sur nos autoradio avec des systèmes à deux balles gèrent le retry : si bien qu'au bout de 5 tentatives il faut attendre 10 min pour la suivante!

L'excuse du mot de passe faible ne tient pas boudiou! Combien de petits sites calculent la complexité des mot de passe et les bloquent si ils sont trop triviaux?
C'est honteux pour Apple, ils ont m.rdé, ils devraient le dire et apprendre de leurs erreurs...

Là j'ai un doute qu'ils aient compris le problème.

[Aelins]

Moi je préfère attendre les résultats de l’enquête du FBI avant de décider si Apple est coupable ou non après tout on est innocent jusqu'à preuve du contraire n'est ce pas ?

[Thorna]

Et donc, en gros, ce qu'Apple dit, c'est :
- le cloud est sûr mais la, on a été attaqués par quelqu'un qui s'est donné du mal, c'est normal qu'il y soit arrivé !
Y'a que moi que ca choque ?

[_Von_]

Venant de la part d'Apple, la réponse est désolante et affligeante.

Au final, la question est de savoir quelle doit-être la place de la sécurité au cours du cycle de développement d'une application.

[kipkip]

Moi je préfère attendre les résultats de l’enquête du FBI avant de décider si Apple est coupable ou non après tout on est innocent jusqu'à preuve du contraire n'est ce pas ?

Je ne comprends pas trop
Qui d'autre que Apple peut être responsable de cette possibilité d'intrusion?

Aucun système n'est sur à 100% bien entendu mais à priori cela ne semble pas être une techniq de haut vol (on parle de brute force là non?).

Le résultat de l'enquête du FBI risque bien d'être : "nous avons trouvé le pirate, s’était un cador dans son genre, il va croupir en prison quelques temps"

[Aelins]

Je ne comprends pas trop
Qui d'autre que Apple peut être responsable de cette possibilité d'intrusion?

Aucun système n'est sur à 100% bien entendu mais à priori cela ne semble pas être une techniq de haut vol (on parle de brute force là non?).

Le résultat de l'enquête du FBI risque bien d'être : "nous avons trouvé le pirate, s’était un cador dans son genre, il va croupir en prison quelques temps"

On fait surtout des spéculations ...

Apparement Dropbox, google drive ou snapchat pourraient aussi être en cause, sinon voir même un hack du wifi des emmy awards

http://www.slate.fr/story/91657/fail...lant-scenarios

[AoCannaille]

Le résultat de l'enquête du FBI risque bien d'être : "nous avons trouvé le pirate, s’était un cador dans son genre, il va croupir en prison quelques temps"

ou bien :
"nous avons trouvé le pirate, s’était un cador dans son genre, on lui a proposé un poste à la NSA"

[Saverok]

On fait surtout des spéculations ...

Apparement Dropbox, google drive ou snapchat pourraient aussi être en cause, sinon voir même un hack du wifi des emmy awards

http://www.slate.fr/story/91657/fail...lant-scenarios

En effet, on spécule
Par contre, pas mal des scénariis de l'article sont farfellus
Par exemple, le piratage du wifi : cela signifie que les messages circulent en clair
C'est encore pire qu'un bruteforce

Je trouve juste ridicule de la part d'Apple d'affirmer aussi vite qu'ils sont hors de cause
Déjà, parce que ce n'est pas à eux de la dire mais au FBI
Ensuite, parce que c'est trop rapide pour être crédible (ils ont analysé leur système pendant 40H sans intervention externe... Pour qu'un audit soit valide, il est de loin préférable de le faire réaliser par quelqu'un d'autre car on a toujours tendance à être satisfait de son propre travail et on manque de recul)

[miky55]

C'est une blague ???
Les gens sont assez bêtes pour se satisfaire de 40h d'investigation ????

Perso je pense que 40 minutes sont largement suffisantes pour déterminer s'il y a eu bruteforce ou social engineering pour Apple... par contre en 40 heures on peut patcher la faille, supprimer les logs de tentatives de bruteforce , fabriquer des fausse traces de social engineering en créant de fausses tentatives de devinettes des questions de sécurité.. Comme ça on est paré pour contrer les avocats des starlettes dont l'intimité vient d’être violée...

Alors pourquoi ne pas imposer la double authentification dans ce cas ???

Imposer la double authentification sur "find my iphone" ???

[Aelins]

Je suis d'accord avec miky55 regarder les logs et savoir le nombre d'appel vers une api et ses paramètres ou bien de quand date la dernière recup de backup ça prend deux secondes.

[23JFK]

Avec les contrats qu'Apple est en train de passer avec les assurances santés et les systèmes de paiements visa/mastercard & Co, ce n'est certainement pas à quelques jours d'une présentation majeure de leurs "MERVEILLEUX" appareils, qu'ils vont modifier leur habituelle stratégie de déni vis-à-vis des bugs et autres failles système. Toujours est-il, qu'en 2014, proposer un dispositif d'identification par login/ pwd qui n'est pas en mesure de détecter une attaque par force brute, c'est indéfendable.

[youtpout978]

Et pour les photos qui étaient supprimés depuis un moment comment ils expliquent que les pirates aient pu les récupérer.

[_Von_]

Je ne connais pas particulièrement Apple mais d’après ce que j'ai compris, les photos avaient été supprimées sur le téléphone
mais il n'y a pas de propagation jusqu'au Cloud.

De toute façon, y a qu'a voir comment ça se passe avec Facebook pour les données/comptes supprimés, les informations sont toujours là
donc ça ne m'étonnerait pas qu'Apple ait le même genre de stratégie.

[4sStylZ]

Ah ben c'est bon, la sécurité des comptes Icloud n'est mauvaise que si on cible les attaques. On a rien a craindre!

Les hackers ne peuvent donc pas s’intéresser aux données useless de M.Tout le monde mais plutôt de données de personnalité...

Et ça c'est positif ça pour les gens d'Apple? XD

Je trouve juste ridicule de la part d'Apple d'affirmer aussi vite qu'ils sont hors de cause
Déjà, parce que ce n'est pas à eux de la dire mais au FBI

Je pensais pas que y'avait des gens qui trouvait ça normal que le FBI s'interesse à ce genre de truc people. Sérieusement, tu croit pas que le FBI il est censé avoir autre chose à faire et d'autres gens à protéger?

[Saverok]

Je pensais pas que y'avait des gens qui trouvait ça normal que le FBI s'interesse à ce genre de truc people. Sérieusement, tu croit pas que le FBI il est censé avoir autre chose à faire et d'autres gens à protéger?

Le FBI s'interresse à tous les piratages de données car c'est un crime fédéral aux USA, pas spécifiquement celui-ci
En 2010, il y a avait plus de 35 000 agents, ça ferai beaucoup de monde pour ne s'occuper que des peoples et politiques, non ?
Le FBI s'occupe de tous les crimes fédéraux qu'ils concernent les puissants ou le "commun"
Bien évidement, les moyens mis en oeuvre ne sont pas toujours équivalent

Comme toute enquête médiatique, un intérêt accrue est mis en place mais rien de spécifique au FBI ou à la police ou quelque soit le pays
(quand on voit que la police fait une analyse ADN pour retrouver le scooter du fils de notre ancien président... L'analyse à elle seule coûte plus chère que le scooter... On est mal placé pour donner des leçons aux USA)