Discussion :

[Hinault Romaric]

Apple et le FBI enquêtent activement sur le piratage d’iCloud
qui aurait entraîné la publication de photos de célébrités nues

Le weekend dernier, le Web s’est vu inondé de photos privées d’une centaine de stars nues, dont Jennifer Lawrence, Rihanna, Kate Upton, Kate Bosworth, Selena Gomez et Kim Kardashian.

Les images auraient été récupérées par des pirates suite à l’exploitation d’une faille sur iCloud, la plateforme d’hébergement Cloud d’Apple, ayant permis d’accéder aux comptes de ces célébrités.

Selon certains experts, un script Python (baptisé iBrute) serait apparu sur GitHub, et aurait été utilisé par les pirates pour effectuer des attaques par force brute sur les comptes iCloud des personnes affectées, grâce à une faille de sécurité dans l’application Find My iPhone, qui n’est pas protégée contre les attaques par force brute.

Selon Hackappcom, le développeur à l’origine d’iBrute, l’application aurait été publiée un jour avant l’incident, ce qui rend peu probable son utilisation en seulement une journée pour perpétrer de telles attaques ciblées. Cependant, il note que quelqu’un de malveillant aurait bien pu trouver le bogue avant et l’exploiter.

Il profite de l’occasion pour fustiger les célébrités dont les comptes ont été piratés, car si cela a été possible grâce à l’utilisation de cette faille, ça signifie que ces personnes utilisaient des mots de passe trop simples. « Ce n’est pas votre faute si vous utilisez de mauvais mots de passe, parce que vous êtes des célébrités et non des nerds », remarque Hackappcom, avant de rappeler à ces stars de faire attention aux informations qu’elles sauvegardent sur des plateformes Cloud.

Apple aurait déjà corrigé cette faille, car désormais, après cinq tentatives d’une attaque avec iBrute, Apple procède à un verrouillage du compte en question.

Toutefois, d’autres allégations font état du fait que les photos seraient issues de différents appareils. Elles auraient donc été subtilisées dans des listes d’images collectées au fil du temps par d’autres pirates.

Cette nouvelle affaire de violation de vie privée, qui a été baptisée aux États-Unis le « Leakgate » ou « Celebgate », agace Apple qui est accusé de n’avoir pas su protéger ses utilisateurs. Un porte-parole de la firme a déclaré qu’une enquête avait été ouverte. « Nous prenons la vie privée de l'utilisateur très au sérieux et enquêtons activement sur cet événement », a déclaré la firme dans un communiqué. Au vu de la gravité de l’affaire, le FBI aurait commencé à mener des investigations suite à une plainte qui a été déposée par ces célébrités.


Sources : re/code, message de Hackappcom


Et vous ?

La faute à qui ? A Apple pour la sécurité de sa plateforme ou aux stars qui ont hébergé de telles données sur le Cloud ?

[Simara1170]

Moi j'en pense que ça a fait le bonheur des ados voire de personnes plus âgées) à travers le monde

Plus sérieusement, il me semble que c'est pas la première fois qu'on tire la sonnette d'alarme sur la sécurité du code produit par Apple... Peut-être qu'ils vont vraimentfaire quelque chose cette fois-ci?

[I_Pnose]

Je suis peut-être naïf mais je pensais que ne pas mettre de "données sensibles" sur les solutions cloud grand public était davantage une question de bon sens qu’un réflexe de geek paranoïaque.

Bon après, niveau nudité, ça doit pas être pire que ce qu’elles postent sur tweeter hein (oui, je sais c’est mal).

[GHetfield]

Un petit lien intéressant sur le sujet (c'est pas les photos )

http://www.hanselman.com/blog/TenThi...rdashians.aspx

[zeecrowddev]

Je ne suis pas sur que ces célébrités ont conscience que leurs photos prisent avec leur téléphone n'étaient pas seulement sur leur téléphone mais aussi sur le cloud ...

Bref la non maîtrise de ses données ...

[I_Pnose]

[Etanne]

Pendant ce temps là une partie des internautes qui défendaient il y a quelques mois la protection de leur vie privée (NSA & les clouds) téléchargent et s'échangent ces photos privées...

[Saverok]

Je ne suis pas sur que ces célébrités ont conscience que leurs photos prisent avec leur téléphone n'étaient pas seulement sur leur téléphone mais aussi sur le cloud ...

Bref la non maîtrise de ses données ...

Malheureusement, la très grande majorité des gens sont dans ce cas
C'est dingue le nombre de personne qui s'imagine que FB est un espace privé confidentiel alors le cloud, n'en parlons même pas...

Je n'ai pas de compte Apple mais ça me surprends qu'il n'y est pas de contrôle de la solidité des mdp...
Quelqu'un peut le confirmer ?

Si c'est bien le cas, c'est une faute grave de la part d'Apple qui a un devoir de conseil auprès de ses clients et se doit de les sensibiliser à ce type de problématique
L'éducation est l'affaire de tous

[Squisqui]

Des méchants pirates ont forcé Apple a colmater une faille. Le FBI/NSA doivent l'avoir bien profond, c'est une porte en moins à exploiter.

[goomazio]

L'autocollant disant que tout ce qui est entré dans l'appareil appartient au domaine public est exagéré, il me semble.

S'il suffit qu'une faille permettant de rendre publique toutes nos données existe alors RIEN n'est privé. Ni mes documents se trouvant dans un tiroir chez moi, ni des données se trouvant dans un coffre fort.


Je suis d'accord qu'on ne peut espérer une sécurité totale, mais de là à se résigner et à se dire que tout est publique sur le net...

[Aiekick]

L'autocollant disant que tout ce qui est entré dans l'appareil appartient au domaine public est exagéré, il me semble.

S'il suffit qu'une faille permettant de rendre publique toutes nos données existe alors RIEN n'est privé. Ni mes documents se trouvant dans un tiroir chez moi, ni des données se trouvant dans un coffre fort.

Je suis d'accord qu'on ne peut espérer une sécurité totale, mais de là à se résigner et à se dire que tout est publique sur le net...

Rien n'est privée tres logntemps dans le sens rien n'est sécurisé tres logtemps.
A part peu etre ce qu'on a dans la tete, m'enfin pour certain le systeme de classement est obscure, et eux meme ne retrouvent pas leur données

Bref, tout ca c'est bien beau, mais le seul porbleme que je vois dans tout ca c'est le cloud. et c'est une cible de choix pour les pirates vu qu'une fois pénétré vous avez acces à tout d'un coup.
Les donnés que je possede chez moi n'interesse personne, et elle sont donc surement mieux chez moi, que dans des cloud, ou d'un coup meme noyé dans la masse je me retrouve en place publique en cas de probleme.
Sans parler du fait que les données hébergés appatiennent aux pays dans lequel se situ le datacenter....

je prefere que les pirates penetrent 1000 systemes pour 1000 données que 1 systeme pour 1000 données.

Quand on reflechit purement fonctionnel et qu'on ignore tout le reste on fait une connerie. c'est comme dans un jeu de strategie, quand on construit 3 batiments tres proches les uns des autres,
c'est pratique mais à la premiere bombe on perd 3 batiments d'un coup.....

[minot83]

Il y a une chose que beaucoup de gens ignorent, c'est que lorsqu'un iPhone est connecté sur un PC et qu'il pose la fatidique question "voulez vous faire confiance à ce PC", il se produit ceci.

4.Si vous êtes sur le point de synchroniser l'appareil avec iTunes, cliquez sur Accepter.

L'ordinateur ou l'appareil de confiance peut accéder aux fichiers et aux réglages de votre appareil iOS. Un ordinateur de confiance peut effectuer une synchronisation avec votre appareil iOS, importer des photos et accéder à des films, des vidéos, des contacts et d'autres contenus de ce type, tant que vous êtes connecté. Les données stockées sur votre appareil iOS ne sont pas exposées tant que vous ne saisissez pas votre code (s'il est activé) et que vous ne choisissez pas de faire confiance à l'ordinateur ou à l'appareil connecté.

Si vous choisissez de ne pas faire confiance à l'ordinateur connecté, vous pouvez charger votre appareil, mais l'ordinateur connecté ne sera pas en mesure d'accéder à son contenu.

Source : http://support.apple...868?viewlocale=fr_FR

[benjani13]

L'autocollant disant que tout ce qui est entré dans l'appareil appartient au domaine public est exagéré, il me semble.

S'il suffit qu'une faille permettant de rendre publique toutes nos données existe alors RIEN n'est privé. Ni mes documents se trouvant dans un tiroir chez moi, ni des données se trouvant dans un coffre fort.

Je suis d'accord qu'on ne peut espérer une sécurité totale, mais de là à se résigner et à se dire que tout est publique sur le net...

Ce n'est pas ce que voulait dire cette autocollant, du moins je ne l'entend pas comme ça (et de fait donc ça ne colle pas vraiment à la news). C'est pour faire prendre conscience à la personne que ce qu'elle poste sur internet est potentiellement publique et retrouvable par n'importe qui (simplement en googlant ton prénom/nom) si on ne fait pas un minimum attention (préférence de confidentialité, utilisation d'un pseudo plutôt que ton nom, etc).

Le problème avec la notion de sécurité des mots de passe, c'est qu'elle est pensée pour des cerveaux humains.
Un humain ira moins souvent tester des mots de passes du style #~dzlkj564'@ alors que pour un logiciel, ça ne change quasiment rien (ils sont pensés pour tester tous les caractères de toute façon, donc que vous ne mettiez que des minuscules ou pas, au final c'est une question de secondes).
Il est souvent préférable d'utiliser une loooongue série de caractères (15 ou 20).

Pourquoi ? Regardez juste avec les minuscules (a-z donc), avec 1 caractère tu as 26 possibilités, avec 2 tu en as 676, avec 3 tu en as 17 576... Imaginez avec 20 maintenant. Ensuite, si vous rajoutez tous les symboles possibles, il faudra plusieurs décennies à un BruteForce pour cracker votre mot de passe.

Pour augmenter la sécurité d'un mot de passe, augmenter le jeu de caractère est tout aussi valable qu'augmenter la taille du mot de passe. Et là je ne parle que de brute-force basique. La plupart des softs de bruteforce utilisant des dictionnaires, utiliser des mot de passe "incohérent" est efficace.

Ça prend moins de 10 secondes si tu as 2€.
Tu peux cracker n'importe quel cryptage en AES-256bit donc 53 Trillions de possibilité (53 puissance 18, donc 53 milliards de milliards de possibilités) en 2h40 pour 70 000$ grâce aux calculs déportés dans le cloud, c'est fini le temps où le commun des mortels n'avait pas la puissance nécessaire pour faire de la force brute (bon ok, faut des sous)

Source

Ridicule, que veux tu prouver? Premièrement, la crypto (comme la sécurité) est une histoire de rapport de force et d'enjeux. Quand tu réfléchi à ta sécurité (dans tous domaines, que ce soit l'informatique ou pour la porte de ta maison), tu réfléchie à la valeur de ce que tu veux protéger, qui tu as potentiellement en face et quelle est sa force de frappe.
Tu monte pas un mur en béton armé de 3 mètres d'épaisseur par ce que tu veux pas que le chien du voisin aille sur ta pelouse, tu met un petit grillage.
Quand tu chiffre tes photos de vacances, par ce que tu veux juste que ton petit frère aille pas les voire, pourquoi utiliser un méga cryptosystème de la mort avec clés de 2048 bits? Vu qu'il ne peut pas utiliser ton cloud à 70K$.

Deuxièmement, il y a toujours eu deux cryptographie, la cryptographie pour le grand public, et celle pour les états/grands entreprises. Les deux mondes n'ayant pas besoin du même niveau de sécurité, et n'ayant pas les mêmes capacités pour casser les chiffrements.

Troisièmement, la cryptographie n'est pas figée, elle évolue (on s'est pas arrêté au code César par ce qu'on pouvait le bruteforcer, on a trouvé autre chose). La puissance des ordinateurs grandissant, il y aura toujours une étape ou les gouvernement et les grandes entreprise auront les moyens de casser le chiffrement du moment. Le chiffrement devient désuet pour les états/grosse entreprise (on en change ou on augment les taille de clés). Quand la puissance des ordinateurs a tellement augmenter qu'un simple PC peut le casser en 5 minutes et que cela devient donc accessible à tout le monde, et bien il devient aussi désuet pour le grand public, qui passe à autre chose à son tour.

[Hinault Romaric]

Photos des stars nues : Apple défend la sécurité d’iCloud
et affirme que les comptes ont été compromis suite à des « attaques très ciblées »

Suite à la publication de photos privées d’une centaine de célébrités nues, dont Jennifer Lawrence et Rihanna, après une violation de leur comptes iCloud, Apple avait annoncé avoir ouvert une enquête sur le sujet.

Après 40 heures d’investigations actives, la firme livre ses premières découvertes. Selon un communiqué publié par l’entreprise, la sécurité d’iCloud ne serait pas à blâmer dans cette affaire, car aucune faille de sa plateforme n’aurait été exploitée pour accéder à ces données.

« Lorsque nous avons appris le vol des données, nous étions indignés et avions immédiatement mobilisé les ingénieurs d’Apple pour découvrir la source. La confidentialité et la sécurité de nos clients sont de la plus haute importance pour nous », explique Apple, qui affirme que les pirates ont procédé à des attaques très ciblées sur les noms des utilisateurs, mots de passe et questions de sécurité, pour parvenir à compromettre leur comptes.

« Aucun cas que nous avons étudié ne résulte d’une violation dans n’importe quel système d’Apple, y compris iCloud ou Find my iPhone. Nous continuons à travailler avec la police pour aider à identifier les criminels impliqués », conclut la firme.

Apple note que ce type d’attaque est devenu assez fréquent sur internet, et invite les utilisateurs de ses services à toujours avoir recours à un mot de passe fort et à utiliser l’authentification à deux facteurs, qui nécessite l’utilisation d’un code de sécurité qui est envoyé par SMS ou via l'application « localiser mon iPhone » sur « un appareil de confiance » de l’utilisateur lors de la connexion.

Source : Apple

[Hinault Romaric]

Photos des stars nues : Apple aurait été au courant d’une faille dans iCloud
6 mois avant la publication des photos

En fin du mois dernier, Apple s’est retrouvé sous le feu des projecteurs suite à la publication des photos privées d’une centaine de stars, dont Jennifer Lawrence, Rihanna, Kate Upton, Kate Bosworth, Selena Gomez et Kim Kardashian. Les photos auraient été récupérées par des pirates suite à l’exploitation d’une faille sur iCloud, la plateforme d’hébergement Cloud d’Apple.

Apple s’était défendu en affirmant qu’aucune faille dans sa plateforme n’aurait été exploitée pour accéder à ces données. Pour Apple, les comptes de ces stars auraient été compromis suite à des attaques très ciblées sur les noms d’utilisateur et mots de passe.

Une récente révélation vient cependant jeter le discrédit sur les affirmations d’Apple. D’après des mails obtenus par le Daily Dot, Ibrahim Balic, un développeur basé à Londres, aurait informé Apple sur une méthode qu’il avait découverte, qui permettait d’infiltrer des comptes iCloud.

Dans le courriel daté du 26 mars 2014, Balic affirme qu’il a pu contourner avec succès le moyen de sécurité permettant de prévenir les attaques par force brute. Il explique qu’il aurait essayé plus de 20 000 combinaisons de mots de passe sur un compte iCloud.

Dans un autre email daté du 6 mai 2014, Apple serait revenu auprès de lui pour avoir plus d’information sur la faille, qui n’aurait pas encore été corrigée. « Je crois que le problème n’avait pas été complètement résolu. Ils me demandaient de leur montrer plus de choses », a affirmé Balic au Daily Dot, qui regrette également le fait qu’Apple n’aurait pas pris au sérieux son signalement.

Balic n'en serait pas à sa première découverte d’une faille sous une plateforme d’Apple. La dernière remontait à juin 2013 et touchait le « Developer Center » d’Apple. La faille avait été reconnue par Apple, mais Balic avait été traité avec mépris par la société.


Pour l’instant, il n’est pas clair si c’est cette vulnérabilité qui aurait conduit au vol des photos intimes de célébrités. Cependant, le rapprochement avec les informations révélées jusqu’ici semble mettre en relation la faille et le piratage des comptes d’iCloud.


Source : Daily Dot

[Karshick]

Le problème avec la notion de sécurité des mots de passe, c'est qu'elle est pensée pour des cerveaux humains.
Un humain ira moins souvent tester des mots de passes du style #~dzlkj564'@ alors que pour un logiciel, ça ne change quasiment rien (ils sont pensés pour tester tous les caractères de toute façon, donc que vous ne mettiez que des minuscules ou pas, au final c'est une question de secondes).
Il est souvent préférable d'utiliser une loooongue série de caractères (15 ou 20).

Pourquoi ? Regardez juste avec les minuscules (a-z donc), avec 1 caractère tu as 26 possibilités, avec 2 tu en as 676, avec 3 tu en as 17 576... Imaginez avec 20 maintenant. Ensuite, si vous rajoutez tous les symboles possibles, il faudra plusieurs décennies à un BruteForce pour cracker votre mot de passe.

[Aiekick]

Le problème avec la notion de sécurité des mots de passe, c'est qu'elle est pensée pour des cerveaux humains.
Un humain ira moins souvent tester des mots de passes du style #~dzlkj564'@ alors que pour un logiciel, ça ne change quasiment rien (ils sont pensés pour tester tous les caractères de toute façon, donc que vous ne mettiez que des minuscules ou pas, au final c'est une question de secondes).
Il est souvent préférable d'utiliser une loooongue série de caractères (15 ou 20).

Pourquoi ? Regardez juste avec les minuscules (a-z donc), avec 1 caractère tu as 26 possibilités, avec 2 tu en as 676, avec 3 tu en as 17 576... Imaginez avec 20 maintenant. Ensuite, si vous rajoutez tous les symboles possibles, il faudra plusieurs décennies à un BruteForce pour cracker votre mot de passe.

quand tu vois le nombre de sites qui demandent un pass entre 6 et 8 caractere alphanumerique et qui de surcroit te le renvoi par mail pour confirmer ton inscription, on se demande si c'est pas fait expres et qu'ils revendent la base de donnée de compte mail et mot de passe sur le marché... pour alimenter les dicos de forces brute.

[goomazio]

Au fait, un commentaire que vous avez peut-être déjà pu lire et qui correspond très bien à ce fait divers, qui est des plus intéressants :

On one hand I feel bad that Jennifer Lawrence's privacy was invaded but on the other hand...well that hand is busy.

Bref, tout ca c'est bien beau, mais le seul porbleme que je vois dans tout ca c'est le cloud. et c'est une cible de choix pour les pirates vu qu'une fois pénétré vous avez acces à tout d'un coup.

Le problème que je vois (que je pense apercevoir), c'est que si on nous bassine sans arrêt avec le fait que rien n'est privé sur Internet, on pourrait accepter cette visibilité totale que permet, dans certains cas, le web sur nos données.

"Facebook nous espionne, mais de toute façon TOUT est publique sur Internet"..

[webpsi]

Pourquoi ? Regardez juste avec les minuscules (a-z donc), avec 1 caractère tu as 26 possibilités, avec 2 tu en as 676, avec 3 tu en as 17 576... Imaginez avec 20 maintenant. Ensuite, si vous rajoutez tous les symboles possibles, il faudra plusieurs décennies à un BruteForce pour cracker votre mot de passe.

Ça prend moins de 10 secondes si tu as 2€.
Tu peux cracker n'importe quel cryptage en AES-256bit donc 53 Trillions de possibilité (53 puissance 18, donc 53 milliards de milliards de possibilités) en 2h40 pour 70 000$ grâce aux calculs déportés dans le cloud, c'est fini le temps où le commun des mortels n'avait pas la puissance nécessaire pour faire de la force brute (bon ok, faut des sous)

Source

[Aiekick]

Ça prend moins de 10 secondes si tu as 2€.
Tu peux cracker n'importe quel cryptage en AES-256bit donc 53 Trillions de possibilité (53 puissance 18, donc 53 milliards de milliards de possibilités) en 2h40 pour 70 000$ grâce aux calculs déportés dans le cloud, c'est fini le temps où le commun des mortels n'avait pas la puissance nécessaire pour faire de la force brute (bon ok, faut des sous)

Source

ca depend aussi de la bande passante disponible et que potentiellement tu devoile en faisant ca. plus c'est rapide, plus c'est violent et plus c'est visible. on parle pas d'attaque locale la..