Pour Apple, iCloud n’est pour rien dans la fuite des photos dénudées

Apple

Par Olivier le

iCloud, le bouquet de services dans le nuage d’Apple, n’est pour rien dans la fuite de dizaines de photos de vedettes dénudées qui occupe la chronique depuis quelques jours. Avec Jennifer Lawrence et quelques autres célébrités en tenue d’Eve (et même plus), il était évident que l’affaire allait connaître un gros buzz.

Jennifer-Lawrence-Stalker-Deemed-Dangerous-919-2

À quelques encablures d’un special event que l’on dit historique, Apple se devait de ne pas louper sa communication sur ce point extrêmement sensible, à savoir la sécurisation du stockage des données sur son nuage. Un communiqué du groupe publié hier soir fait le point sur l’enquête en cours : après 40 heures d’investigation, Apple se dédouane de toute faille.

Le constructeur explique que les utilisateurs de ses services dans le nuage (qu’il s’agisse de vedettes ou d’anonymes) devraient utiliser des mots de passe forts ainsi que le système d’authentification à deux étapes mis en place en début d’année. Ces protections sont à même de sécuriser l’accès à un compte Apple en ligne.

D’après ce qu’on comprend de toute cette affaire, une partie du blâme revient effectivement aux victimes. Les photos olé-olé qui circulent sous le manteau n’auraient pas été nécessairement toutes stockés sur iCloud, mais sur d’autres services en ligne.

Apple ne revient pas sur le sujet, mais il se trouve que les hackers auraient utilisé la force brute pour obtenir les mots de passe des comptes iCloud des victimes. Des mots de passe qui ont pu ensuite servir à accéder à leurs autres comptes (on a évoqué Dropbox), si jamais ces utilisateurs utilisent les mêmes identifiants pour tous leurs services en ligne. Apple aurait bouché cette faille dans les heures qui ont suivi le dévoilement de toute l’affaire.

Source: Source

57 réponses à “Pour Apple, iCloud n’est pour rien dans la fuite des photos dénudées”

  1. Avant même la double authentification, il faudrait que les système de mot de passe rejettent les mots de passe bidons. On commence à le voir arriver mais pas partout et des fois on donne juste une note de difficulté pour le mot de passe. Il faut le généraliser et obliger l’utilisateur à avoir, au moins 8 caractères, avec majuscules/minuscules/chiffres et peut être même ponctuations .,! et autres caractères #”‘&%$

  2. Je ne connais rien à iCloud,
    mais de ce que je comprends de l’article, Apple n’a pas mis en place de mesures pour se démunir d’attaque par force brute ?
    Du style : si plus de 5 tentatives de mot de passe erroné, envoi d’un mail à l’usager + bannissement de l’IP, ou des trucs comme ça ?

    Parce que si ils arrivent à récupérer un mot de passe usager par le biais de iCloud, ça reste quand même bien un problème, même si la fuite ne provient pas forcément de leurs services.

  3. Bonjour,
    Tout d’abord on ne dit pas “la force Brute” mais “le Brute Force”.
    Ensuite si ils ont réussi à Brute-Forcer ce site, c’est qu’il n’est pas sécurisé. Pourtant il y a des dizaines de manière d’empêcher le Brute force (limite de tentatives de connexion, attentes entre chaque tentative, etc.) 

    Donc je considère que ce n’est pas une escuse Valable !  

    De toutes Façons si vous voulez de la sécurité, à aujourd’hui, la meilleure marque de Smartphones c’est BlackBerry (avec BlackBerry 10 bien sur).

  4. @Kagou : C’est déjà le cas, ton mot de passe iCoud doit obligatoirement avoir 1 majuscule, 6 ou 8 caractères comprenant chiffre + lettre. D’accord il n’y a pas encore la ponctuation mais il y a le minimum quand même.

  5. “[…]Apple se dédouane de toute faille[…]”

    “[… ]Apple aurait bouché cette faille dans les heures qui ont suivi le dévoilement de toute l’affaire.”

    ?

  6. Evidemment, que c’est pas la faut à Apple, mais bien des utilisateurs puisqu’ils sont assez cons pour utiliser leur service. Voilà le sous entendu du communiqué.

    Pour moi, apple est fautif:
    – Double authentification mise en place cette année: Et qui a été sensibilisé sur le sujet?
    – Mettre des mot de passe plus fort: c’est un conseil pas une obligation.
    – Se protéger d’attaques par brute force ou tout type connu, ça ils ne le font pas. Et ce point est capital dans ce genre de service.

    C’est la faute aux utilisateurs. Ce genre de photo ne devrait pas se retrouver externalisé. Vous voyez des plans d’entreprise, des maquettes de projets top secrets, documents de la NSA sur le cloud, vous?
    Ilserait bon de FORCER l’utilisateur à lire les conditions générales qui leur sont présenté à la souscription.

    Un peu de jugeote, utilisateurs. Le Q.I baisse-t’il à mesure que l’assistanat informatique est de plus en plus élevé? Bonne dissertation.

  7. Sans vouloir jeter la pierre à Apple, leur sécurité est quand mm juste visiblement.
    Apres, suffit de pas mettre ses boobs et son minou en stock sur icloud hein…

  8. @jec tu as raison c’est toujours la faute à l’utilisateur…Ce qu’il ne faut pas lire comme conneries!
    C’est Apple qui présente son cloud comme sécurisé que je sache et maintenant on nous explique que l’utilisateur n’est plus libre de stocker les photos qu’il veut..
    J’ai travaillé dans une banque ou les coffres fort ont été forcé on n’est pas allé dire à l’utilisateur qu’il était con d’avoir stocké ces biens de valeur et que tout système de sécurité était violable! On s’est excusé on a payé et on a essayé de récupérer leur bien!
    Je ne comprendrait jamais cette bienveillance pour des boites comme Aple m$ ou google dans le monde réel ce genre de comportement est impardonnable pourtant!
    Mais tant qu’ils arrivent à bourrer le mou de quelques uns pourquoi pas!

  9. @jec c’est cette partie qui m’a interpellé!
    “C’est la faute aux utilisateurs. Ce genre de photo ne devrait pas se retrouver externalisé. Vous voyez des plans d’entreprise, des maquettes de projets top secrets, documents de la NSA sur le cloud, vous?
    Ilserait bon de FORCER l’utilisateur à lire les conditions générales qui leur sont présenté à la souscription.”
    Et je crois avoir compris le sens du com

  10. +1 avec stYx.

    Vous faites les moralisateurs de bas échelle.le cloud est un endroit privé,et on met ce que l’on veut,tout en respectant la loi,bien sur.

    D’ailleurs,les nichons de Josette,tout le monde s’en fiche.Il y a des sites avec de plus belles photos.On nous a vendu le cloud comme excuse a ne pas sortir des mobiles de grosse capacité de mémoire,donc le consommateur moyen se doit d’avoir un certain respect de sa vie privée,méme sur le cloud.

    De ce que j’ai retenu,il y avait une majorité de photos d’iPhone mais aussi venant de Dropbox et d’adresses Hotmail.

  11. Il semblerait que plusieurs personnes n’ont pas compris :
    Il y avait une faille dans l’authentification de “Localiser”.

    La faille (qui n’en est pas vraiment une) c’était de ne pas bloquer les tests à répétition de mot de passe, à cause de ça le hacker à pu faire du “brut force” c’est à dire tester des milliers voir des millions de mot de passe et retrouver les bons mots de passes.
    Une fois les mots de passe trouvés, il peut regarder les données icloud sauvegardées ou tester les mots de passe sur d’autre grand service en ligne.

  12. Effectivement Apple oblige les utilisateurs a avoir au moins 1 chiffres, une majuscule et 8 caractéres.
    Sauf si ces jeunes filles ont créé leur compte avant cette régle. Il y 4-5 ans il était possible de rentrer n’importe quoi comme code. Seul le nombre de caractére minimal était imposé.

  13. Et apple a rajouté une sécurité anti-brut force en plus dans la fonction “localiser” moins de 6 heures après avoir été informé de cette affaire, ni vu ni connu lol. Enfin c’est ce qu’il se dit dans d’autres sites sérieux.

  14. D’après ce que j’ai appris, la faille sur cette attaque se trouvait au niveau de la fonction d’oubli du mail (ou du login, j’sais plus). Il n’y avait pas de protection anti-Brute Force sur cette fonction. Donc le gars envoyait en boucle une demande de récupération d’identifiant à l’aide d’un script…. Jusqu’à ce que le mot de passe rentré soit le bon.
    Donc oui c’est la faute d’Apple sur 2 niveaux : ils auraient dû proteger cette page (au lieu de l’oublier) et ils auraient dû avoir un système de remonté d’alertes via les logs ! (Simple programme qui analyse les logs à la recherche de lignes répétées sur les tentatives d’accès).

  15. Bien sûr que c’est une faille de sécurité de la part d’Apple si on peut faire du Brute force ! Je comprends pas qu’on rejeté la faute sur les utilisateurs …

  16. @styx : je te trouve bien virulent.
    En soit, ce qu’il a dit n’est pas débile. L’utilisateur est également responsable, car il est naïf …
    Aucun système n’est inviolable.
    Donc mettre des données sur des sites distants, sur lequel on n’a aucun contrôle et auquel tout le monde peut accéder (je parle du site de base, pas les données d’un compte), c’est risqué.
    Savoir si c’est plus risqué que les garder chez soit sur un NAS, je pense pas.
    Mais il faut être naïf pour croire que Apple, Google, M$, ou tout autres services de cloud sera protégé le contenu de votre compte.

    De plus, j’ai pas regardé les conditions d’utilisations etc de icloud, mais les données sur icloud, ça n’appartient pas plus ou moins de fait à Apple ? à l’instar de ce qui se fait si je ne me trompe sur Facebook ?
    Je suis pas un spécialiste dessus, c’est plus une question ouverte hein :p

  17. @salvado premièrement “une attaque par force brute” se dit bien en français, donc avant de faire le malin renseigne toi un peu^^ le brute forcing ou brute force c’est le nom anglais de ce type d’attaque…

    Je suis entièrement d’accord que les utilisateurs ne devraient pas mettre ce type de photos/documents sur le cloud et qu’ils sont relativement stupide de le faire.

    Mais Apple n’est-elle pas la société qui se veut de proposer “l’informatique facile” sans avoir besoin de tout comprendre et qui fait tout pour l’utilisateur en simplifiant au maximum?

    Quand on tient se genre de discours et qu’on n’est pas capable de sécuriser son système contre les attaques les plus basiques et rependues, c’est une faute grave de la part de la société et techniquement parlant c’est répréhensible en Europe depuis quelque temps.

    L’utilisateur, certes, devrait mettre un mot de passe solide, etc., etc., mais la société est 100% responsable si elle n’est pas capable de mettre en place un simple account locking sur 3 ou 5 tentatives erronées.
    C’est la définition d’une faille de sécurité “haute” voir “critique” et ce n’est pas juste une “best practice”.
    Donc de les entendre dire “qu’ils se dédouanent de toute responsabilité” alors qu’il y a clairement une faille critique sur leur service, c’est encore une preuve que la sécurité les indiffèrent complètement et qu’ils ne sont pas prêt à investir dedans sauf en cas de scandale.
    ça me rappel bizarrement le comportement de Microsoft à l’époque de Windows XP/98…

  18. Ca a été démontré que iclown est en cause (en fait par une faille dans “find my iphone”, mais non, leur discours marketing est impeccable “c’est pas nous !”… Tiens, ça me rappelle l’antenna gate : “C’est l’utilisateur qui est trop con et qui ne sait pas comment tenir un téléphone…”
    Bref, ils vont tout faire pour étouffer l’affaire, dans quelques jours, ils vont annoncer leur nouvelle… non, je dirais pas le mot 🙂

  19. @salvado Le BruteForce peut être utilisé dans n’importe quel cas pour essayer d’obtenir des mots de passe ou identifiants. La sécurité qui existe contre le BruteForce est juste que quand tu testes trop de fois un mot de passe, le compte se bloque et tu dois le réactiver manuellement. Une sécurité qui est dans n’importe quel système de Login.
    Le problème d’Apple c’était qu’il y avait une faille au niveau de la connexion et cette faille consistait à pouvoir tester des mots de passes différents un nombre de fois illimité. Donc pas de blocage de compte après “x” tentatives. Donc faille parfaite pour le BruteForce 😉

  20. Non mais arrêtez les enfants… je vais vous aider, c’est pas bien compliqué :

    C’est la faute d’Apple car il y a vraisemblablement certains manquements pour totalement sécuriser ses espaces de connexion ET des utilisateurs car il faut être naïf pour croire que même l’espace le plus sécurisé est inviolable (de surcroît, je veux bien croire qu’ils utilisent les mêmes ids partout et qu’ils ne soient pas forcément bien complexes à trouver).

    Les gens croient que l’icloud, c’est comme une clef USB qu’on aurait dans la poche… Et quelque part c’est un peu le cas, sauf qu’ici n’importe qui et depuis n’importe où pourrait potentiellement y glisser sa main pour prendre la clef…

  21. “Ce code permet de réaliser une attaque « bruteforce » en exploitant une vulnérabilité dans la fonction « Localiser mon iPhone ». L’attaquant peut multiplier – et donc automatiser – les tentatives contre un compte Apple jusqu’à ainsi entrer le bon mot de passe et accéder aux données liées (l’adresse mail associée au compte est également nécessaire).

    Apple a depuis corrigé la faille logicielle d’iOS et bloqué ce scénario d’attaque en « bruteforce » n’entraînant pas le verrouillage du compte au-delà du nombre de tentatives d’authentification autorisées.”

    http://www.zdnet.fr/actualites/photos-volees-les-vedettes-us-trahies-par-la-fonction-localiser-mon-iphone-39805555.htm

  22. Ne pas avoir pense a une attaque brute force sur un service de stockage en ligne est juste une pure erreur de Noob de la part de Apple.
    Maintenant j’espere que non content d’avoir corrige le bug, ils ont demande a TOUS les utilisateurs de changer leur mot de passe.
    Car bien que certaines actrices/modeles n’aient pas été touchées par l’affaire (car n’ayant pas de photos coquines), cela ne veut pas dire que leur mot de passe n’a pas été craqué et que si d’aventure elles venaient a prendre des photos … Bref vous avez compris.

    Apple fautif a 99 %

  23. @Styx Tu n’a pas compris mon argumentation qui décrédibilise les deux parties qui sont Apple et l’utilisateurs.
    4 paragraphes dont:
    -1 -> Interprétation du communiqué pour le noob. (avec un peu de troll, j’avoue).
    -2 -> Contre Apple.
    -3 -> Contre l’utilisateur.
    -4 -> Une ouverture. (Avec une certaine naïveté)

    N’est-ce pas la base d’une argumentation? (pour/contre ; oui/non/mais, …) J’ai démontré que chaque partie est en tord.

  24. @wiinner je ne vois pas en quoi je suis virulent :
    http://support.apple.com/kb/HT4865?viewlocale=fr_FR&locale=fr_FR

    C’est une promesse Apple la confidentialité et sécurité et en plus on paie cher à partir d’un seuil pour l’avoir icloud c’est pas gratuit!
    C’est pas parce qu’aucun système n’est inviolable que ce doit être une passoire et quand on commet une erreur on s’excuse on corrige et on ne dit pas que c’est de votre faute!
    Mais Apple a raison elle trouvera toujours des gens pour aller dans son sens….

  25. et dire que Microsoft m’envoie un SMS pour vérifier si c’était moi qui s’est connecté ou non (depuis quelques années).
    merci Microsoft 🙂

  26. Ils permettent au gens de choisir un mot de passe faible et de ne pas utiliser la double authentification, mais disent que c’est de la faute des utilisateurs ?
    Autre chose : je n’ai jamais compris comment le brute force pouvait fonctionner alors qu’il suffit (par exemple), de verrouiller pendant 10 secondes le compte (ou de mettre un captcha) au bout d’un certain nombre d’essais et pouf, le brute force ne sert plus à rien.

  27. @jec- Ce n’est pas valable ton argumentation car tu as un vendeur un acheteur et des promesses! L’utilisateur n’est qu’un utilisateur et pas un spécialiste il à fait ce qu’on lui à dit! Combien de personne lisent la notice complète de leur voiture téléphone téléviseur…????

    Sans parler de nue beaucoup de ces stars avaient sans doute des photos de leurs amant et maitresse(bon passe encore) mais mari, femme, mère, père, frère, sœur et pire encore ENFANTS quoi de plus innocent et sans danger à priori sur des photos tu aimerais que ces gens soient exposées!
    A un moment il faut que tu regardes plus loin que le bout de ton nez il n’ y a pas que le Q dans la vie!

  28. Amusant tout cela… depuis des années quand je parlais de vie privée, de sécurisation des données & Co on me regardait un peu comme si j’étais l’invité du diner de cons.
    On me répondait des trucs du style “ce que j’y met n’intéresse personne au point de faire l’effort de le pirater”, “c’est pratique, je ne vois pas pourquoi tu ne veux pas du progrès (Mr tout content de son android-cloud-streaming-facebook-twitter)”, …

    Il y a maintenant 20 ans lorsque j’ai fait mes études on parlait déjà de ces problèmes et les cours de droits & Co orienté pour l’info n’intéressait pas grand monde. Le principal souci est que ces cours étaient quelque chose de rare: très peu de gens ont été sensibilisés, encore moins ont été formés…

    Le vrai problème actuel est que
    – internet devient le minitel (cf. la présentation de Benjamin Bayart).
    – l’informatisation croissante du quotidien a jeté dans l’arène des millions de gens qui ne comprennent pas vraiment ce qui se passe (être consommateur ne veut dire etre compétent).

    Les smartphones ont amplifiés tout cela en rendant accessible ce qui demandait avant quelques connaissances (le cloud n’est qu’un nom marketing pour résumé un ensemble de service réseau qui existe depuis la nuit des temps informatiques). Le truc c’est que lorsque l’on acquérait ces connaissances ont découvrait en meme temps le revers de la médaille…

    Avec cette affaire + celles de la NSA les gens commencent a un peu mieux appréhender le truc. La prochaine étape est d’avoir un mouvement de masse pour le cloud personnel (un truc du style cubieboard/pi/… chez soi qui consomme rien + un système déja packagé avec un truc du style owncloud). Cela ne résoudra pas tout les problèmes (notamment ceux liés au mot de passe) mais cela un grand pas en avant (après les muttiples pas en arrière fait ces derniers années).

  29. @stYx “L’utilisateur n’est qu’un utilisateur et pas un spécialiste”, n’est pas un argument valable, il y a depuis des années des cas de piratage de donnée. Et c’est pas la 1ère fois que l’on s’en prend à des stars(dans ce cas précis). Il est dans le devoir de chacun de maîtrisé la technologie que l’on utilise pour se protégé.

  30. J’aime les gens qui prennent certain articles pour vérité absolu…
    Est-ce qu’on est sûr que la fuite viens de 1000% des services d’Apple? j’ai vue combien d’article disant : la fuite viens de Dropbox.
    Dropbox ne pretége pas du Brut Froce non plus. Hotmail le fait. Gmail non plus, au bout de certain essaie, il rajoute un malheureux capach.
    Ensuite de quoi, il y a eu d’autre rumeur disant que la personne a tout simplement trouvé les réponses secrete au question des services mails et comme cela, ils ont pu “pirater’ les compte car les vie privé des star… c’est pas vraiment des vie privé en soit…

    Donc bon, avant de dire : Ouais, c’est la faute d’Apple na ! Le niveau des mdp demandé sont trop élevé pour que le brut Forcing marche ” 1,3 × 1016″ pour 9 caractère avec minuscule/maj et chiffre.

    Et dans tout les cas, au bout d’un moment, certains service vous bloque pendant x min /h / jour puis vous pouvez recommencer.

    Donc on ne sait rien hormis des la spéculation. Tout ce que nous dis Apple, c’est que les personnes ont trouvé les mdps et qui se sont servit. c’est tout. Pas de faille.

    En quoi est-ce c’est pire à prendre qu’une autre source d’information ? Si cela se trouve, le FIB va en arriver à la même conclusion? Vous allez dire que eux aussi, ils racontent de la merde ?

    Donc faut arrêter 30 sec, on ne sait rien, une information est tout aussi fiable qu’une autre sauf preuve du contraire, et comme toute information, certains se contredise voir partent dans des directions différente.

    Donc les Omen77 qui passe leur temps a cracher sur Apple /Google / Microsoft and co, en quoi le fait que vous ayez pas confiance en cette marque et pas une autre fait que cette dite marque et forcément moins bonne ? En quoi cela est un service moins bon sur une rumeur ? merci donc de respecter les services des autres car les gens n’ont pas forcément les moyens et connaissance pour faire un NAS personnelle avec une solution de cryptage fait maison à 128 bits qui change toute les 12 min (13 quand c’est la pleine lune et 25 min quand c’est le3 de chaque mois sauf en avril.) et dont ils connaissent la clé part coeur ou la fond de tête quand elle change…

    Ensuite, en ce qui concerne l’intelligence des utilisateur de ce genre de services, je vous prierai de bien aller vous faire voir et de respecter les gens. je ne pense pas que vous soyez expert dans tout les domaines. Que vous lisez l’intégralité de toute les CGV/CGU a chaque fois que vous installer une Application. Donc vous : elle n’avait qu’a lire cette co***, vous vous les gardez. Jusqu’à preuve du contraire, elles restent humaine et sont pas plus idiotes qu’une autres (je reste au féminin car seule les célébrité féminine ont été impactées.)

    Et puis, je ne pense pas que vous soyez incollable sur tout les domaines qui existe en ce monde. elles, c’est le cinéma et leur talent d’actrice dont elles doivent être impacable en ce qui concerne toute les combines a hollywood (ou leur manager en tout cas…) tant que vous, c’est le vide total pratique en ce qui concerne vos connaissance a ce sujet…

    Donc merci de respecter un tant soit peu les personnes qui se servent de ce genre de service pour mettre ce qu’ils VEULENT !! photo vidéo coquine. Docement confidentiel.

    Rien n’est inviolable et si la personne avait passé de façon sournoise les sécurité en monde véritable pirate (étude du code php/javascript/ruby du site pour trouver la faille. injection SQL ou autre pour briser les services pour ensuite faire d’autre méthode pour passer tout les niveaux de sécurité, et donc faire un exploit. Même la, vous aurez dit que c’est une faute grave…)

    Enfin bref, On ne sait rien, on ne sait pas d’où vient le problème, on ne sait juste rien… Hormis un floppé de rumeur et les gens prennent celle qui leur arrange pour cracher comme toujours leur haine /amour pour une marque… Alors qu’on ne sait juste rien…

  31. Il n’y aucun rapport entre une faille de sécurité et une “double vérification”. Le fait d’avoir une double sécurité n’empêche pas une faille d’être exploitée !

  32. “mais il se trouve que les hackers auraient utilisé la force brute pour obtenir les mots de passe des comptes iCloud des victimes”

    La force brute est avec toi jeune Sith XD

    Histoire de mettre tout le monde d’accord:
    -Une attaque par BruteForce => Ok
    -Une attaque par ForceBrute => Ok
    -Utiliser le BruteForce => Ok à la rigueur
    -Utiliser la Force Brute => NON !!!!

    Moi j’utilise la Force Corse, j’ai testé un mot de passe hier, j’en essaierai un autre demain. Aujourd’hui c’est apéro Figatellu… XD

  33. @mistergamer: Apple le fait également depuis un petit temps (c’est un mail par contre)
    @marcoh: Et encore ^^ je me souviens d’un message d’Apple “m’obligeant” à réinitialiser mon mot de passe pour quelques choses de plus complexe (les fameux 8 caractères + chiffres + maj)
    @johnny: EXACTEMENT ^^ (je relève parce que j’ai l’impression qu’on ne t’as pas lu) mais faut dire que l’article est légèrement ambiguë comme le communiqué d’Apple.

  34. Sinon, Apple et tous les autres services de cloud font comme Microsoft avec OneDrive : interdiction de stocker des photos de nus.
    Et hop, le tour est joué.

  35. @jec-

    “- Double authentification mise en place cette année: Et qui a été sensibilisé sur le sujet?”

    Tout ce possédant un compte iCloud avec des emails envoyés à tout le monde. Personne ne peux dire ne pas être au courant alors qu’Apple en a informé tout ses clients. Après Apple ne peux pas appeller et passer 5minutes avec chaque client…

    “- Mettre des mot de passe plus fort: c’est un conseil pas une obligation.”
    Un conseil, mais si tu met “1234”, ne viens pas faire le choquer que compte soit hacker par la suite….
    Apple force déjà à mettre au minimum 8 caractères, 1 majuscule et un 1 chiffre.

    “- Se protéger d’attaques par brute force ou tout type connu, ça ils ne le font pas. Et ce point est capital dans ce genre de service.”

    Là dessus, je suis d’accord. Après faut voir comment ça été fait.
    Est ce que l’attaque de brute force est passé par iCloud en premier lieu ou ils ont récupéré le mot de passe depuis un autre service, et l’ont ensuite tester sur iCloud.

  36. @styx : bah en fait si.
    Tu te bases sur le postulat que jec défendait Apple.
    Or ce n’est pas le cas.
    Son argumentation était : Apple a mal fait son boulot, mais qu’est ce qu’ils sont bêtes les utilisateurs aussi à stocker ce genre de contenus.

    De même, tu pars plus ou moins dans le postulat que je défends Apple.
    Ce n’est absolument pas le cas. Si Apple ne fait pas les contrôles de sécurité classiques, c’est archi nul hein. Mais je trouve les utilisateurs bien naïfs, c’est tout ce que je rajoute.

    Puis ça m’amuse les gens par contre ici, qui parlent de mettre un mot de passe compliqué, alors qu’ils ne savent pas le principe du brute force 🙂
    Est ce que vous vous rendez compte qu’il ne faut pas trouver le mot de passe exact de l’utilisateur pour rentrer dans 99% des sytèmes (à moins que la fonction de hashage du mot de passe soit une bijection, ce qui n’est pas à mon sens le cas).

    Il suffit de trouver une chaine de caractères, qui une fois passé dans la moulinette de cryptage donne la même chaine de caractère que si l’utilisateur avait utilisé son mot de passe.
    Par contre, ce qu’il faut éviter, c’est également d’éviter des noms, ou ce genre de choses, pour éviter les attaques brutes force par dictionnaire (plus rapide).

  37. “Apple se dégage de toute responsabilité mais a corrigé la faille juste après”. Euh… s’il y a une faille à corriger c’est qu’ils ont une responsabilité, non ?

  38. @aldwyr “Ensuite, en ce qui concerne l’intelligence des utilisateur de ce genre de services, je vous prierai de bien aller vous faire voir et de respecter les gens”

    Cela ne se limite pas forcément aux utilisateurs de ces services 🙂
    Quand je vois dans le métro une personne avec le tout dernier smartphone et qui s’en sert pour jouer au morpion (argghh) et… qui perd (argghh bis)!!! bon bah voila je me pose vraiment des questions…
    Il ne faut pas sous estimer l’intelligence des gens je suis d’accord avec toi.
    Avec le temps j’ai aussi appris qu’il ne faut pas non plus la surestimer.

    Clairement au moment où l’informatique est rentré dans la poche des gens on a raté un truc, comme si on avait sauté une étape.

  39. @r
    Encore heureux qu’il ne faut pas les surestimer… ^^ j’ai jamais dis qu’elles étaient surdouée.:)

    Mais je ne pense pas avoir vue ces jeunes starlettes faire quelque chose de VRAIMENT stupide. ^^

    Après, voir des gens faires des truc stupide qui dépasse ma raison, j’en ai vue, et pas seulement sur le morpion. que je me demande comment on fait pour perdre… des match nul, oui, régulièrement, des victoires aussi… Mais des défaites, sauf parce qu’une personne m’a distraite et que j’ai mal placé mon cercles (sur papier j’entend. ^^), je perd rarement au morpion. (Après, il n’y a pas 36 millons de technique… On espère souvent une erreur de l’adversaire…

  40. @Peredur et @autres autant pour moi, j’ai l’habitude d’utiliser BruteForce.
    Pour ce qui est de dire que j’y connais rien, je suis en école d’expertise informatique, je pense savoir me débrouiller me que certain qui ont besoin de GOOGLE !
    Merci

  41. @Styx:
    “Ce n’est pas valable ton argumentation car tu as un vendeur un acheteur et des promesses! L’utilisateur n’est qu’un utilisateur et pas un spécialiste il à fait ce qu’on lui à dit! Combien de personne lisent la notice complète de leur voiture téléphone téléviseur…????”
    – C’est TON DEVOIR de connaitre les TERMES du CONTRAT que tu SIGNE. Ce n’est pas au vendeur de te torcher le cul et de te la lire. Comme dans la vie réelle. Il en va de même de l’utilisation: c’est TON PROBLEME si tu n’utilise pas CONVENABLEMENT ou comme il l’a été prévu un objet ou un service.

    “Sans parler de nue beaucoup de ces stars avaient sans doute des photos de leurs amant et maitresse(bon passe encore) mais mari, femme, mère, père, frère, sœur et pire encore ENFANTS quoi de plus innocent et sans danger à priori sur des photos tu aimerais que ces gens soient exposées!”
    – TU es RESPONSABLE du contenu que tu laisse traîner. Comme une facture sur le bureau, comme une voiture dans la rue. Comme ton téléphone dans ton sac de plage.
    Tu va porter plainte contre ta marque de sac parce que quelqu’un a rentré sa main dedans pour piquer ton smart? Non. Evidemment contre la personne (ou sous x).

    “A un moment il faut que tu regardes plus loin que le bout de ton nez il n’ y a pas que le Q dans la vie!”
    – Tu remarquera que je n’ai NULLEMENT mentionné ce fait. Merci, le mensonge construit vachement!
    En revanche les œillères, c’est pour les poneys à la base. Que ça puisse t’être utile.

    Je ne parlerais pas dans ce commentaire des erreurs qu’à fait le fournisseur de services (le “sac” en référence au second paragraphe) concernant sa communication sur son service et je m’arrêterais là. Les butés c’est pas intéressant.

  42. Ok, donc, visiblement, tout le monde parle, mais personne n’a lu le communiqué d’Apple, donc le voilà :

    “Après 40 heures d’enquête, nous avons découvert que les données de certains comptes de célébrités ont été compromises par une attaque très ciblée sur les identifiants, mots de passe et questions de sécurité, une pratique devenue beaucoup trop commune sur internet

    Aucun des cas que nous avons étudiés n’a résulté d’une violation d’un système d’Apple, y compris iCloud ou Localiser mon iPhone. Nous continuons de travailler avec la police pour aider à identifier les criminels impliqués.”

    Après, vous pouvez toujours dire que ce sont des menteurs, parce que vous avez lu ailleurs que c’était Localiser mon iPhone qui était en cause. On voudrait plomber Apple qu’on ne s’y prendrait pas autrement.

    En tous cas, il parait que les photos ont été prises il y a bien longtemps pour certaines, que sur les selfies on peut voir que les appareils utilisés pour prendre les photos ne sont pas forcément des iphones etc… On a parlé de dropbox aussi (mais bizarrement, tout le monde n’a retenu que iCloud… Apple est une cible si facile…).

    J’ai donc plutôt tendance à croire l’hypothèse de la source multiple (et pas seulement Apple), venant de collectionneurs qui auraient récupéré tout ça sur plusieurs années avant de tout sortir. Et que ce qui a été récupéré chez Apple l’a été grace à enquête de “voisinage” pour récupérer les identifiants, les réponses aux questions secrètes etc… Après tout, ce n’est peut-être pas si dur que ça de retrouver le nom de jeune fille de la maman ou le nom du premier poney d’une actrice…

  43. Je me rappel du temps ou Apple trollait ses concurrents en matière de sécurité. J’avoue bien rire aujourd’hui. Ce n’est pas eux aussi qui avait un problème de sécurité il n’y a si longtemps ? (attaque du 3 eme homme)

    bref en matière de sécurité, vaut mieux ne pas trop la ramener, et c ‘est valable pour TOUT le monde, Apple, Google, Microsoft etc

  44. @Aldwyr et les autres :
    http://www.linformaticien.com/actualites/id/34036/celebgate-apple-botte-en-touche.aspx

    “« En conjonction avec les identifiants iCloud obtenus à l’aide d’iBrute, le logiciel de craquage de mots de passe iCloud publié sur Github durant le weekend, EPPB permet à quiconque de se faire passer pour l’iPhone de la victime et de télécharger une sauvegarde complète plutôt que les données plus limitées accessibles sur icloud.com »”

    “Et si Apple dément toute faille dans son système, il a d’ores et déjà corrigé un trou permettant d’attaquer la fonctionnalité « Localiser mon iPhone ». En effet, le nombre d’essais n’était pas limité et permettait donc d’attaquer en « force brute » afin de récupérer les mots de passe. Le nombre de tentatives est désormais limité à 5”

  45. @jec- donne moi la ligne dans le contrat qui dit qu’Apple laissera des failles qui pourront profiter a n’importe quel bouseux! Je ne vois pas en quoi les utilisateurs n’ont pas utilisé convenablement le service?????
    Et personne n’a laissé trainer son sac dans le cas d’espèce tu as mis dessus un cadenas comme on te l’a dit et le fabricant de sac a donné les codes de ton cadenas à des voleurs et eux en ont profité pour mettre la main dans ton sac ce qui n’a rien à voir…..
    A un moment il faut être logique tu ne peut pas demander plus de sécurité à l’utilisateur que tu n’en demandes a Apple….
    Et tu as bien raison arrêtes toi là!

    ps : les œillères ont été inventées pour dompter les chevaux sauvages, les poneys ne sont arrivés que plus tard des shetland et généralement n’ont pas d’œillères….

  46. @Omen77 et encore un énième article disant que cela peut venir de telle chose ou tel chose. Ce n’est pas en rajoutant des termes technique que tu pourras rajouter de la valeur…

    Je ne remet pas en cause la véracité de l’article, mais en soit, c’est juste une énième théorie en plus des autres….

  47. @Styx, voici la ligne en question: http://www.apple.com/legal/internet-services/icloud/fr/terms.html

    “Apple doit faire preuve de compétence raisonnable et de diligence dans la fourniture du Service, mais, DANS LA MESURE OU LA LOI APPLICABLE LE PERMET, APPLE NE GARANTIT PAS QUE LE CONTENU QUE VOUS POUVEZ STOCKER OU AUQUEL VOUS OU ACCEDER PAR LE BIAIS DU SERVICE NE FERA PAS L’OBJET DE DOMMAGES ACCIDENTELS, DE CORRUPTION, DE PERTE OU DE SUPPRESSION CONFORMEMENT AUX CONDITIONS DU PRESENT CONTRAT, ET APPLE NE POURRA ETRE TENUE RESPONSABLE EN CAS DE SURVENANCE DE TELS DOMMAGES, CORRUPTION, PERTE OU SUPPRESSION DU CONTENU. Il est de votre responsabilité de conserver des copies de sauvegarde alternatives appropriées de vos informations et données.”

    + rubrique “Contenu et votre Conduite” (trop long pour copier coller ici mais concerne le contenu admissible sur leur support de stockage).
    + rubrique Exclusion de garanties:
    “APPLE NE DECLARE NI NE GARANTIT QUE LE SERVICE SERA EXEMPT DE TOUTE PERTE, CORRUPTION, ATTAQUE, VIRUS, INTERFERENCE, PIRATAGE OU AUTRE ATTEINTE A LA SECURITE, ET APPLE DECLINE TOUTE RESPONSABILITE S’Y RAPPORTANT.”

    On n’est d’accord, et je le répète une Nieme fois: Les deux parties sont en tord. Mais le cas présent, c’est à dire la nudité et la pornographie est une clause que ces utilisatrices n’ont pas respecté, indépendamment de l’acte de piratage.
    Apple (ou tout autre service de cloud) doit mettre en place des protections on est d’accord et je n’ai jamais dis le contraire, mais les utilisateurs ne sont pas tout blanc non plus comme tu le prétends puisqu’ils ne respectent pas non plus le cadre prévu par l’outil (cf contrat et tout le tsointsoin dont nous avons jacassé depuis le début.).

    Concernant les œillères c’était une blague “my little poney” tout ça, tu vois.

    PS: Les majuscules viennent directement du copier/coller du contrat.

  48. “Pour Apple, iCloud n’est pour rien dans la fuite des photos dénudées” .

    C’est bien typique d’Apple de toute façon.C’est toujours la faute des utilisateurs, jamais la leur (antenna gate…).
    Sinon, j’ai lu quelque part que certaines photos (qui n’étaient uploadées que sur iCloud) avaient été effacées depuis des mois, pas d’explications là dessus?

  49. @jec- Comme je te l’ai dit la nudité n’a rien à voir avec le fait qu’un pirate ai pu pirater toute sles photos du compte toutes les données! La nudité de ces stars nous a uniquement alertés sur le piratage qui aurait pu continuer sans cette divulgation!

    « APPLE NE DECLARE NI NE GARANTIT QUE LE SERVICE SERA EXEMPT DE TOUTE PERTE, CORRUPTION, ATTAQUE, VIRUS, INTERFERENCE, PIRATAGE OU AUTRE ATTEINTE A LA SECURITE, ET APPLE DECLINE TOUTE RESPONSABILITE S’Y RAPPORTANT. »
    Les exclusions dont tu parles concerne certaines juridictions et pas tout le monde ce qui permettra à terme d’attaquer. Apple ouvre un parapluie pour effrayer mais sans validité et qui ne l’exempt en aucun cas de sécurité et confidentialité comme écrit dans le reste du contrat …

  50. Pour Apple, Apple est formidable, a révolutionné le monde à lui tout seul tellement que sans Apple, on gratterai encore des silexs. La concurrence n’est pas en reste et s’aligne sur le même modèle.
    Avant, on appelait tout cela de la manipulation, du mensonge et de la propagande, maintenant on appelle cela de la publicité, du marketing et de la communication.

  51. Quite à avoir accès au compte iCloud, autant savoir ou le demoiselle habite et se targuer de sonner chez elle avec un présent 😛

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *