Discussion :

[Hinault Romaric]

Apple et le FBI enquêtent activement sur le piratage d’iCloud
qui aurait entraîné la publication de photos de célébrités nues

Le weekend dernier, le Web s’est vu inondé de photos privées d’une centaine de stars nues, dont Jennifer Lawrence, Rihanna, Kate Upton, Kate Bosworth, Selena Gomez et Kim Kardashian.

Les images auraient été récupérées par des pirates suite à l’exploitation d’une faille sur iCloud, la plateforme d’hébergement Cloud d’Apple, ayant permis d’accéder aux comptes de ces célébrités.

Selon certains experts, un script Python (baptisé iBrute) serait apparu sur GitHub, et aurait été utilisé par les pirates pour effectuer des attaques par force brute sur les comptes iCloud des personnes affectées, grâce à une faille de sécurité dans l’application Find My iPhone, qui n’est pas protégée contre les attaques par force brute.

Selon Hackappcom, le développeur à l’origine d’iBrute, l’application aurait été publiée un jour avant l’incident, ce qui rend peu probable son utilisation en seulement une journée pour perpétrer de telles attaques ciblées. Cependant, il note que quelqu’un de malveillant aurait bien pu trouver le bogue avant et l’exploiter.

Il profite de l’occasion pour fustiger les célébrités dont les comptes ont été piratés, car si cela a été possible grâce à l’utilisation de cette faille, ça signifie que ces personnes utilisaient des mots de passe trop simples. « Ce n’est pas votre faute si vous utilisez de mauvais mots de passe, parce que vous êtes des célébrités et non des nerds », remarque Hackappcom, avant de rappeler à ces stars de faire attention aux informations qu’elles sauvegardent sur des plateformes Cloud.

Apple aurait déjà corrigé cette faille, car désormais, après cinq tentatives d’une attaque avec iBrute, Apple procède à un verrouillage du compte en question.

Toutefois, d’autres allégations font état du fait que les photos seraient issues de différents appareils. Elles auraient donc été subtilisées dans des listes d’images collectées au fil du temps par d’autres pirates.

Cette nouvelle affaire de violation de vie privée, qui a été baptisée aux États-Unis le « Leakgate » ou « Celebgate », agace Apple qui est accusé de n’avoir pas su protéger ses utilisateurs. Un porte-parole de la firme a déclaré qu’une enquête avait été ouverte. « Nous prenons la vie privée de l'utilisateur très au sérieux et enquêtons activement sur cet événement », a déclaré la firme dans un communiqué. Au vu de la gravité de l’affaire, le FBI aurait commencé à mener des investigations suite à une plainte qui a été déposée par ces célébrités.


Sources : re/code, message de Hackappcom


Et vous ?

La faute à qui ? A Apple pour la sécurité de sa plateforme ou aux stars qui ont hébergé de telles données sur le Cloud ?

[Simara1170]

Moi j'en pense que ça a fait le bonheur des ados voire de personnes plus âgées) à travers le monde

Plus sérieusement, il me semble que c'est pas la première fois qu'on tire la sonnette d'alarme sur la sécurité du code produit par Apple... Peut-être qu'ils vont vraimentfaire quelque chose cette fois-ci?

[I_Pnose]

Je suis peut-être naïf mais je pensais que ne pas mettre de "données sensibles" sur les solutions cloud grand public était davantage une question de bon sens qu’un réflexe de geek paranoïaque.

Bon après, niveau nudité, ça doit pas être pire que ce qu’elles postent sur tweeter hein (oui, je sais c’est mal).

[GHetfield]

Un petit lien intéressant sur le sujet (c'est pas les photos )

http://www.hanselman.com/blog/TenThi...rdashians.aspx

[zeecrowddev]

Je ne suis pas sur que ces célébrités ont conscience que leurs photos prisent avec leur téléphone n'étaient pas seulement sur leur téléphone mais aussi sur le cloud ...

Bref la non maîtrise de ses données ...

[I_Pnose]

[Etanne]

Pendant ce temps là une partie des internautes qui défendaient il y a quelques mois la protection de leur vie privée (NSA & les clouds) téléchargent et s'échangent ces photos privées...

[Saverok]

Je ne suis pas sur que ces célébrités ont conscience que leurs photos prisent avec leur téléphone n'étaient pas seulement sur leur téléphone mais aussi sur le cloud ...

Bref la non maîtrise de ses données ...

Malheureusement, la très grande majorité des gens sont dans ce cas
C'est dingue le nombre de personne qui s'imagine que FB est un espace privé confidentiel alors le cloud, n'en parlons même pas...

Je n'ai pas de compte Apple mais ça me surprends qu'il n'y est pas de contrôle de la solidité des mdp...
Quelqu'un peut le confirmer ?

Si c'est bien le cas, c'est une faute grave de la part d'Apple qui a un devoir de conseil auprès de ses clients et se doit de les sensibiliser à ce type de problématique
L'éducation est l'affaire de tous

[Squisqui]

Des méchants pirates ont forcé Apple a colmater une faille. Le FBI/NSA doivent l'avoir bien profond, c'est une porte en moins à exploiter.

[goomazio]

L'autocollant disant que tout ce qui est entré dans l'appareil appartient au domaine public est exagéré, il me semble.

S'il suffit qu'une faille permettant de rendre publique toutes nos données existe alors RIEN n'est privé. Ni mes documents se trouvant dans un tiroir chez moi, ni des données se trouvant dans un coffre fort.


Je suis d'accord qu'on ne peut espérer une sécurité totale, mais de là à se résigner et à se dire que tout est publique sur le net...

[Karshick]

Le problème avec la notion de sécurité des mots de passe, c'est qu'elle est pensée pour des cerveaux humains.
Un humain ira moins souvent tester des mots de passes du style #~dzlkj564'@ alors que pour un logiciel, ça ne change quasiment rien (ils sont pensés pour tester tous les caractères de toute façon, donc que vous ne mettiez que des minuscules ou pas, au final c'est une question de secondes).
Il est souvent préférable d'utiliser une loooongue série de caractères (15 ou 20).

Pourquoi ? Regardez juste avec les minuscules (a-z donc), avec 1 caractère tu as 26 possibilités, avec 2 tu en as 676, avec 3 tu en as 17 576... Imaginez avec 20 maintenant. Ensuite, si vous rajoutez tous les symboles possibles, il faudra plusieurs décennies à un BruteForce pour cracker votre mot de passe.

[Aiekick]

L'autocollant disant que tout ce qui est entré dans l'appareil appartient au domaine public est exagéré, il me semble.

S'il suffit qu'une faille permettant de rendre publique toutes nos données existe alors RIEN n'est privé. Ni mes documents se trouvant dans un tiroir chez moi, ni des données se trouvant dans un coffre fort.

Je suis d'accord qu'on ne peut espérer une sécurité totale, mais de là à se résigner et à se dire que tout est publique sur le net...

Rien n'est privée tres logntemps dans le sens rien n'est sécurisé tres logtemps.
A part peu etre ce qu'on a dans la tete, m'enfin pour certain le systeme de classement est obscure, et eux meme ne retrouvent pas leur données

Bref, tout ca c'est bien beau, mais le seul porbleme que je vois dans tout ca c'est le cloud. et c'est une cible de choix pour les pirates vu qu'une fois pénétré vous avez acces à tout d'un coup.
Les donnés que je possede chez moi n'interesse personne, et elle sont donc surement mieux chez moi, que dans des cloud, ou d'un coup meme noyé dans la masse je me retrouve en place publique en cas de probleme.
Sans parler du fait que les données hébergés appatiennent aux pays dans lequel se situ le datacenter....

je prefere que les pirates penetrent 1000 systemes pour 1000 données que 1 systeme pour 1000 données.

Quand on reflechit purement fonctionnel et qu'on ignore tout le reste on fait une connerie. c'est comme dans un jeu de strategie, quand on construit 3 batiments tres proches les uns des autres,
c'est pratique mais à la premiere bombe on perd 3 batiments d'un coup.....

[minot83]

Il y a une chose que beaucoup de gens ignorent, c'est que lorsqu'un iPhone est connecté sur un PC et qu'il pose la fatidique question "voulez vous faire confiance à ce PC", il se produit ceci.

4.Si vous êtes sur le point de synchroniser l'appareil avec iTunes, cliquez sur Accepter.

L'ordinateur ou l'appareil de confiance peut accéder aux fichiers et aux réglages de votre appareil iOS. Un ordinateur de confiance peut effectuer une synchronisation avec votre appareil iOS, importer des photos et accéder à des films, des vidéos, des contacts et d'autres contenus de ce type, tant que vous êtes connecté. Les données stockées sur votre appareil iOS ne sont pas exposées tant que vous ne saisissez pas votre code (s'il est activé) et que vous ne choisissez pas de faire confiance à l'ordinateur ou à l'appareil connecté.

Si vous choisissez de ne pas faire confiance à l'ordinateur connecté, vous pouvez charger votre appareil, mais l'ordinateur connecté ne sera pas en mesure d'accéder à son contenu.

Source : http://support.apple...868?viewlocale=fr_FR

[Aiekick]

Le problème avec la notion de sécurité des mots de passe, c'est qu'elle est pensée pour des cerveaux humains.
Un humain ira moins souvent tester des mots de passes du style #~dzlkj564'@ alors que pour un logiciel, ça ne change quasiment rien (ils sont pensés pour tester tous les caractères de toute façon, donc que vous ne mettiez que des minuscules ou pas, au final c'est une question de secondes).
Il est souvent préférable d'utiliser une loooongue série de caractères (15 ou 20).

Pourquoi ? Regardez juste avec les minuscules (a-z donc), avec 1 caractère tu as 26 possibilités, avec 2 tu en as 676, avec 3 tu en as 17 576... Imaginez avec 20 maintenant. Ensuite, si vous rajoutez tous les symboles possibles, il faudra plusieurs décennies à un BruteForce pour cracker votre mot de passe.

quand tu vois le nombre de sites qui demandent un pass entre 6 et 8 caractere alphanumerique et qui de surcroit te le renvoi par mail pour confirmer ton inscription, on se demande si c'est pas fait expres et qu'ils revendent la base de donnée de compte mail et mot de passe sur le marché... pour alimenter les dicos de forces brute.

[goomazio]

Au fait, un commentaire que vous avez peut-être déjà pu lire et qui correspond très bien à ce fait divers, qui est des plus intéressants :

On one hand I feel bad that Jennifer Lawrence's privacy was invaded but on the other hand...well that hand is busy.

Bref, tout ca c'est bien beau, mais le seul porbleme que je vois dans tout ca c'est le cloud. et c'est une cible de choix pour les pirates vu qu'une fois pénétré vous avez acces à tout d'un coup.

Le problème que je vois (que je pense apercevoir), c'est que si on nous bassine sans arrêt avec le fait que rien n'est privé sur Internet, on pourrait accepter cette visibilité totale que permet, dans certains cas, le web sur nos données.

"Facebook nous espionne, mais de toute façon TOUT est publique sur Internet"..

[Paul TOTH]

moi si j'étais une de ces stars, je porterais plainte contre Apple en fait

et si j'étais le hacker, se sont les mots de passe que j'aurais diffusé ^^

[webpsi]

Pourquoi ? Regardez juste avec les minuscules (a-z donc), avec 1 caractère tu as 26 possibilités, avec 2 tu en as 676, avec 3 tu en as 17 576... Imaginez avec 20 maintenant. Ensuite, si vous rajoutez tous les symboles possibles, il faudra plusieurs décennies à un BruteForce pour cracker votre mot de passe.

Ça prend moins de 10 secondes si tu as 2€.
Tu peux cracker n'importe quel cryptage en AES-256bit donc 53 Trillions de possibilité (53 puissance 18, donc 53 milliards de milliards de possibilités) en 2h40 pour 70 000$ grâce aux calculs déportés dans le cloud, c'est fini le temps où le commun des mortels n'avait pas la puissance nécessaire pour faire de la force brute (bon ok, faut des sous)

Source

[Thorna]

Un truc m'énerve particulièrement dans cette histoire : de nombreuses personnes disent (ou pensent, comme moi) depuis longtemps que le cloud est une sorte de passoire plus ou moins hermétique qu'on nous recommande sans arrêt et pour tout, et pourtant toutes les affaires qu'on a connues dans les dernières années (tiens, les 0.7 pourcents de données perdues par Amazon par exemple...) n'ont pas modifié le comportement des clients et des fournisseurs, ils continuent a y mettre tout et n'importe quoi. Et voila que quelques célébrités sont a leur tour prises au piège, et c'est soudain une «prise de conscience» mondiale, un scandale, etc. Bienvenues dans le monde des gens normaux !

[pierre-y]

C'est du piratage ou quelqu'un qui a trouver comment ouvrir la back door? Parce que dd'un côté apple reconnait te pomper toute tes données alors après ça venir parler de piratage c'est quoi la différence?

[benjani13]

L'autocollant disant que tout ce qui est entré dans l'appareil appartient au domaine public est exagéré, il me semble.

S'il suffit qu'une faille permettant de rendre publique toutes nos données existe alors RIEN n'est privé. Ni mes documents se trouvant dans un tiroir chez moi, ni des données se trouvant dans un coffre fort.

Je suis d'accord qu'on ne peut espérer une sécurité totale, mais de là à se résigner et à se dire que tout est publique sur le net...

Ce n'est pas ce que voulait dire cette autocollant, du moins je ne l'entend pas comme ça (et de fait donc ça ne colle pas vraiment à la news). C'est pour faire prendre conscience à la personne que ce qu'elle poste sur internet est potentiellement publique et retrouvable par n'importe qui (simplement en googlant ton prénom/nom) si on ne fait pas un minimum attention (préférence de confidentialité, utilisation d'un pseudo plutôt que ton nom, etc).

Le problème avec la notion de sécurité des mots de passe, c'est qu'elle est pensée pour des cerveaux humains.
Un humain ira moins souvent tester des mots de passes du style #~dzlkj564'@ alors que pour un logiciel, ça ne change quasiment rien (ils sont pensés pour tester tous les caractères de toute façon, donc que vous ne mettiez que des minuscules ou pas, au final c'est une question de secondes).
Il est souvent préférable d'utiliser une loooongue série de caractères (15 ou 20).

Pourquoi ? Regardez juste avec les minuscules (a-z donc), avec 1 caractère tu as 26 possibilités, avec 2 tu en as 676, avec 3 tu en as 17 576... Imaginez avec 20 maintenant. Ensuite, si vous rajoutez tous les symboles possibles, il faudra plusieurs décennies à un BruteForce pour cracker votre mot de passe.

Pour augmenter la sécurité d'un mot de passe, augmenter le jeu de caractère est tout aussi valable qu'augmenter la taille du mot de passe. Et là je ne parle que de brute-force basique. La plupart des softs de bruteforce utilisant des dictionnaires, utiliser des mot de passe "incohérent" est efficace.

Ça prend moins de 10 secondes si tu as 2€.
Tu peux cracker n'importe quel cryptage en AES-256bit donc 53 Trillions de possibilité (53 puissance 18, donc 53 milliards de milliards de possibilités) en 2h40 pour 70 000$ grâce aux calculs déportés dans le cloud, c'est fini le temps où le commun des mortels n'avait pas la puissance nécessaire pour faire de la force brute (bon ok, faut des sous)

Source

Ridicule, que veux tu prouver? Premièrement, la crypto (comme la sécurité) est une histoire de rapport de force et d'enjeux. Quand tu réfléchi à ta sécurité (dans tous domaines, que ce soit l'informatique ou pour la porte de ta maison), tu réfléchie à la valeur de ce que tu veux protéger, qui tu as potentiellement en face et quelle est sa force de frappe.
Tu monte pas un mur en béton armé de 3 mètres d'épaisseur par ce que tu veux pas que le chien du voisin aille sur ta pelouse, tu met un petit grillage.
Quand tu chiffre tes photos de vacances, par ce que tu veux juste que ton petit frère aille pas les voire, pourquoi utiliser un méga cryptosystème de la mort avec clés de 2048 bits? Vu qu'il ne peut pas utiliser ton cloud à 70K$.

Deuxièmement, il y a toujours eu deux cryptographie, la cryptographie pour le grand public, et celle pour les états/grands entreprises. Les deux mondes n'ayant pas besoin du même niveau de sécurité, et n'ayant pas les mêmes capacités pour casser les chiffrements.

Troisièmement, la cryptographie n'est pas figée, elle évolue (on s'est pas arrêté au code César par ce qu'on pouvait le bruteforcer, on a trouvé autre chose). La puissance des ordinateurs grandissant, il y aura toujours une étape ou les gouvernement et les grandes entreprise auront les moyens de casser le chiffrement du moment. Le chiffrement devient désuet pour les états/grosse entreprise (on en change ou on augment les taille de clés). Quand la puissance des ordinateurs a tellement augmenter qu'un simple PC peut le casser en 5 minutes et que cela devient donc accessible à tout le monde, et bien il devient aussi désuet pour le grand public, qui passe à autre chose à son tour.