Branle-bas de combat chez Apple et Twitter. Ce week-end, des centaines de photos personnelles de stars (Jennifer Lawrence, Kirsten Dunst, Kate Bosworth, Kim Kardashian, Scarlett Johansson, Selena Gomez, Rihanna...) - dont de très nombreuses en tenue d'Eve - se sont retrouvées postées sur les comptes d'utilisateurs de Twitter. Toutes étaient accessibles via 4Chan pointant sur un lien dérobé sur iCloud, le service de stockage de documents en ligne d'Apple. Pour autant, il ne semble pas que l'on ait affaire à un piratage massif du service. Le site de microblogging a depuis fermé le compte de ces twittos un peu trop voyeurs.
« Un large piratage d'iCloud est peu probable même si son auteur voudrait bien le faire croire », a ainsi indiqué Rik Ferguson, vice-président de la recherche en sécurité de Trend Micro. Selon lui, le pirate aurait ainsi utilisé le lien vers la page « mot de passe oublié » d'iCloud et, après avoir entré les adresses mail de ses victimes, sans doute grâce à un autre piratage de carnet d'adresses, a exécuté une attaque par force brute pour deviner les mots de passe de ses cibles. Un script Python retrouvé lundi sur GitHub, aurait d'ailleurs aussi permis de réaliser des attaques par force brute pour tenter de trouver les mots de passe des comptes cibles sur le service iCloud, mais en exploitant cette fois une vulnérabilité dans le service Find My iPhone, depuis corrigée par Apple.
La vérification en deux étapes, levier de sécurité très puissant
La relation entre le piratage des comptes de célébrités et cette vulnérabilité peut-elle être établie ? Sans doute, bien que son auteur ne manque pas d'ouvrir le parapluie : « Ce bug est commun à tous les services ayant de nombreuses interfaces d'authentification, et avec une connaissance basique des techniques de reverse engineering et de sniffing, il est facile de les découvrir. Quelqu'un a très bien pu utiliser cet outil mais il n'y pas de preuve que cette méthode de piratage ait été utilisée pour ce cas. », a ainsi indiqué le créateur du script Python Hackapp, interrogé par TheNextWeb.
Afin de sécuriser son compte, il est recommandé d'activer la vérification en deux étapes permettant d'envoyer sur un terminal que l'utilisateur considère comme fiable un code à 4 chiffres pour entrer dans son compte en ligne. Apple, qui ne s'est pas encore exprimé publiquement sur l'affaire, a ouvert une enquête.