Mai 2013
Sécurité : Apple a donné trop facilement accès à un compte iCloud
par Nicolas Furno le 06.08.2012 à 09:16
L'affaire a fait grand bruit ce week-end : vendredi, Mat Honan, journaliste chez Wired a perdu les données personnelles sur son iPhone, iPad et son Mac. En cause, un accès frauduleux à son compte iCloud qui a permis aux voleurs virtuels de supprimer tous les terminaux associés à ce compte en utilisant la fonction Localiser mon Mac. Dans la foulée, ils ont aussi accédé à son compte Gmail et au compte Twitter de Gizmodo, son ancien employeur.
À l'origine, il pensait que son mot de passe avait été déchiffré par les responsables de cette attaque. Un mot de passe spécifique à son compte iCloud, mais qui n'était peut-être pas assez fort avec sept caractères. Comme il l'a appris par la suite, la vérité est plus terrible : les voleurs ont simplement réussi à se faire passer pour lui auprès de l'assistance Apple.
Les questions posées par le service sont manifestement insuffisantes et les responsables ont pu y répondre sans inquiéter leur interlocuteur au téléphone. Ils ont demandé une réinitialisation du mot de passe et ont ainsi pu accéder au compte de Mat Honan. Depuis cet incident, l'entreprise de Cupertino n'a pas fait de commentaire, mais l'information serait montée très haut dans la hiérarchie et une sécurité renforcée est probablement en train d'être mise en place.
En attendant, Apple aide Mat à retrouver ses données et cet incident rappelle qu'il faut absolument sauvegarder tout son contenu et si possible pas uniquement sur un service Internet. Dropbox ou des solutions de sauvegarde en ligne sont utiles pour retrouver ses données, mais en cas de faille de sécurité, c'est toute sa vie numérique qui est menacée…
À l'origine, il pensait que son mot de passe avait été déchiffré par les responsables de cette attaque. Un mot de passe spécifique à son compte iCloud, mais qui n'était peut-être pas assez fort avec sept caractères. Comme il l'a appris par la suite, la vérité est plus terrible : les voleurs ont simplement réussi à se faire passer pour lui auprès de l'assistance Apple.
Les questions posées par le service sont manifestement insuffisantes et les responsables ont pu y répondre sans inquiéter leur interlocuteur au téléphone. Ils ont demandé une réinitialisation du mot de passe et ont ainsi pu accéder au compte de Mat Honan. Depuis cet incident, l'entreprise de Cupertino n'a pas fait de commentaire, mais l'information serait montée très haut dans la hiérarchie et une sécurité renforcée est probablement en train d'être mise en place.
En attendant, Apple aide Mat à retrouver ses données et cet incident rappelle qu'il faut absolument sauvegarder tout son contenu et si possible pas uniquement sur un service Internet. Dropbox ou des solutions de sauvegarde en ligne sont utiles pour retrouver ses données, mais en cas de faille de sécurité, c'est toute sa vie numérique qui est menacée…
|
3
2
1
Vos réactions (42 réactions)
showmehowtolive
[06/08/2012 09:27]
via MacG Mobile
Il manque une fonctionnalité de sécurité par SMS ou de liste des accès comme sur Gmail.
Il manque une fonctionnalité de sécurité par SMS ou de liste des accès comme sur Gmail.
guigus31
[06/08/2012 09:28]
via MacG Mobile
Une vie, 7 caractères.. On est peu de choses, ma ptite dame.
Une vie, 7 caractères.. On est peu de choses, ma ptite dame.
Vinc26
[06/08/2012 09:32]
Vie numérique...
Pathétique ?
http://www.dailymotion.com/video/xscvjg_online-now_shortfilms
Vie numérique...
Pathétique ?
http://www.dailymotion.com/video/xscvjg_online-now_shortfilms
liocec
[06/08/2012 09:34]
via MacG Mobile
C'est d'autant plus grave quand on sait que des milliers d'entreprises utilisent le cloud pour stocker leur données et emails... et se sentent rassurer, plus rien a faire (sauvegarde sur bande, chaque jour, semaine, etc...), accès externe simplifié via le web et un numéro de tél (comme mot de passe)...
Ah, le monde moderne, c'est plus les pépés mémés qui protégaient leur "trésor" dans des chaussettes ou dans le four !
C'est d'autant plus grave quand on sait que des milliers d'entreprises utilisent le cloud pour stocker leur données et emails... et se sentent rassurer, plus rien a faire (sauvegarde sur bande, chaque jour, semaine, etc...), accès externe simplifié via le web et un numéro de tél (comme mot de passe)...
Ah, le monde moderne, c'est plus les pépés mémés qui protégaient leur "trésor" dans des chaussettes ou dans le four !
Lucieaus
[06/08/2012 09:39]
C'est le problème d'Apple. Le support technique est bien trop gentil et ils font beaucoup trop confiance aux clients. Il faudrait surtout dans ces cas là qu'ils envoient un courrier au propriétaire du compte. C'est ce que fait Orange pour les mots de passe de connexion par exemple. jamais ils communiquent les mots de passe par téléphone, même aux entreprises.
Ca semble assez élémentaire mais pas pour Apple visiblement. heureusement qu'ils font pas encore service bancaire ...
C'est le problème d'Apple. Le support technique est bien trop gentil et ils font beaucoup trop confiance aux clients. Il faudrait surtout dans ces cas là qu'ils envoient un courrier au propriétaire du compte. C'est ce que fait Orange pour les mots de passe de connexion par exemple. jamais ils communiquent les mots de passe par téléphone, même aux entreprises.
Ca semble assez élémentaire mais pas pour Apple visiblement. heureusement qu'ils font pas encore service bancaire ...
karayuschij
[06/08/2012 09:41]
Stocker ses données dans le cloud c'est déjà pas très malin.
Les stocker seulement dans le cloud c'est totalement débile.
Mais quand ça arrive à un journaliste (probablement geek) qui bosse pour une boîte comme Gizmodo alors là je me marre comme un petit fou(r) !
Stocker ses données dans le cloud c'est déjà pas très malin.
Les stocker seulement dans le cloud c'est totalement débile.
Mais quand ça arrive à un journaliste (probablement geek) qui bosse pour une boîte comme Gizmodo alors là je me marre comme un petit fou(r) !
elamapi
[06/08/2012 09:53]
Le vol d'identifiant de cette manière n'est pas une spécificité d'Apple. Non seulement ça, mais c'est surtout la mêthode la plus utilisé, car la plus "simple".
Les grandes compagnies du CAC40 se sont toutes faites voler des millions d'euros parce que des petits malins se faisaient passer pour le boss et demandaient des virement.
Le vol d'identifiant de cette manière n'est pas une spécificité d'Apple. Non seulement ça, mais c'est surtout la mêthode la plus utilisé, car la plus "simple".
Les grandes compagnies du CAC40 se sont toutes faites voler des millions d'euros parce que des petits malins se faisaient passer pour le boss et demandaient des virement.
hogs
[06/08/2012 09:54]
@karayuschij
Depuis iCloud, tu peux déclencher l'effacement LOCAL des données sur ton mac/iphone/ipad....
Donc la personne qui obtient ton mot de passe tient réellement en otage tes iDevices !
@karayuschij
Depuis iCloud, tu peux déclencher l'effacement LOCAL des données sur ton mac/iphone/ipad....
Donc la personne qui obtient ton mot de passe tient réellement en otage tes iDevices !
thibotus01
[06/08/2012 09:56]
Des gens qui profitent de cette new pour troller sur le Cloud. Pathétique.
On parle là de piratage et plus précisément d'ingénierie sociale sur le service client d'Apple.
Et puis le Cloud c'est bien si on sait s'en servir et quoi mettre dessus.
Des gens qui profitent de cette new pour troller sur le Cloud. Pathétique.
On parle là de piratage et plus précisément d'ingénierie sociale sur le service client d'Apple.
Et puis le Cloud c'est bien si on sait s'en servir et quoi mettre dessus.
VinSs
[06/08/2012 09:58]
via MacG Mobile
En fait c'est Apple, ils ont voulu tapé gizmodo à travers ça ;-)
En fait c'est Apple, ils ont voulu tapé gizmodo à travers ça ;-)
Kelv
[06/08/2012 09:59]
Le SE toujours aussi efficace :d
Le SE toujours aussi efficace :d
aspartame
[06/08/2012 10:01]
il faut enfoncer le cloud...
il faut enfoncer le cloud...
Kelv
[06/08/2012 10:06]
"Il manque une fonctionnalité de sécurité par SMS ou de liste des accès comme sur Gmail."
+1, n'empêche, sans cette fonction je n'aurais rien centralisé sur Google :)
Elle rassure un max, aucune chance de se faire prendre son compte sans se faire voler son téléphone.
"Il manque une fonctionnalité de sécurité par SMS ou de liste des accès comme sur Gmail."
+1, n'empêche, sans cette fonction je n'aurais rien centralisé sur Google :)
Elle rassure un max, aucune chance de se faire prendre son compte sans se faire voler son téléphone.
3
2
1
Réagir
Il n'est pas possible de réagir à cette dépêche. Si vous souhaitez toutefois réagir, n'hésitez pas à faire un tour dans nos forums.