Importante faille de sécurité sur un site web Apple

Sur le web

Par Olivier le

Il n’y a pas qu’au sein d’iOS qu’Apple rencontre de gros problèmes de sécurité. Il suffit à un pirate de connaître le courriel et la date de naissance d’une victime pour accéder à son compte Apple ID, celui-là même qui lui ouvre par exemple les portes des achats sur l’iTunes Store. Une fois dans la place, le hacker a tout loisir de modifier le mot de passe et accéder aux informations les plus sensibles.

rotten-apple-image

La page web iForgot.apple.com, qui permet de récupérer son mot de passe en cas d’oubli, est fautive. Une fois que le malfaisant a renseigné les champs e-mail et date de naissance, il lui suffit de coller une URL modifiée. Le mode d’emploi complet est encore disponible sur internet, mais fort heureusement, dès qu’Apple a été mise au courant de la vulnérabilité, elle a placé la page en maintenance. Cupertino a tenu à indiquer -et c’est heureux- prendre la sécurité de ses utilisateurs très au sérieux, et plancher sur un correctif. La page en question a été inaccessible pendant quelques heures, puis est revenue à la normale avec en bonus le correctif mis en place : il n’y a donc plus rien à craindre.

L’ironie de l’histoire est qu’Apple a cette semaine modifié le processus de validation qui permet de modifier ses informations de compte en en passant par deux étapes (dont une impliquant la réception d’un message texte). Ce système bloque précisément la faille décrite ci-dessus. Hélas, il n’est disponible qu’aux États-Unis, en Grande-Bretagne, Australie, Nouvelle-Zélande et Irlande… mais Apple a su être particulièrement réactive.

Source: Source