Suivez-nous

Divers

Star nues : la partie émergée de l’iceberg

Arnaud

Publié le

 

Par

ib-3.jpg

La Pomme a reconnu, hier, que certains comptes iCloud de personnes célèbres ont fait l’objet d’attaques ciblées, lesquelles n’ont pas profité d’une faille d’iCloud ou de Localiser mon iPhone, mais ont été le fruit de recherches sur les nom, mots de passe, et les questions de sécurité. Mais Cupertino ne s’en tirera sans doute pas à si bon compte : on retrouve sur l’internet, de nombreux autres éléments probants d’accès à des comptes iCloud, qui ne sont pas ceux de célébrités mais de monsieur tout le monde, ou plutôt de mademoiselle tout le monde. Non, les “pirates” ne sont pas seulement intéressés par les images de stars, certains aiment bien faire commerce, lucratif ou non, des photos dénudées des péquins moyens.

Sam Biddle, pour ValleyMag a trouvé sur les forums de AnonIB, ceux où sont apparues les premières photos de Jennifer Lawrence, des centaines d’images intimes, présentant presque autant de jeunes femmes dans le plus simple appareil, et que les posteurs clament avoir été obtenues en accédant illégalement à leur compte iCloud. Et, pas de mystère, c’est la même méthode qui a été suivie pour obtenir ces images, que celles des stars hollywoodiennes.

Le mode opératoire est détaillé par l’un des membres les plus actifs des fils concernés. Et il est assez simple.« Vous avez juste besoin d’informations assez basiques, qui sont souvent disponibles sur Facebook, Twitter, Instagram et consorts», explique un certain TJ ripper.

  • D’abord il faut obtenir le mail de la personne visée
  • Ensuite, sur le service iForgot d’Apple, qui sert à retrouver ou reinitialiser les mots de passe de comptes Apple, il faut rentrer cet email et demander à s’authentifier avec les questions de sécurité
  • À ce stade, il faut disposer de la date de naissance de la victime. Facile, elle est sur Facebook pour la plupart des personnes.
  • Si la date de naissance a été trouvée, le pirate est conduit sur la page des questions de sécurité. Là aussi, pour répondre à certaines d’entre elles, il suffit souvent d’un peu de bon sens “social”, et de pister la personne visée sur les réseaux sociaux. Avec les bonnes réponses, il suffit de faire changer le mot de passe du compte et le tour est joué : non seulement le pirate peut accéder, mais la victime ne peut plus…

Notre bon samaritain précise d’ailleurs qu’il vaut mieux opérer la nuit. Après trois tentatives infructueuses sur les questions de sécurité, il faut recommencer le processus. Attention, au bout d la 3e fois où vous le recommencez sans succès, Apple bloquera le compte pendant 8 heures.

On imagine mal Apple ignorer ce commerce, qui ne se cache même pas vraiment. Pourtant, des solutions existent :

  • La meilleure, et de loin, est d’utiliser l’authentification en deux temps, qui introduit un téléphone portable vers lequel est envoyé un code durant le processus de création / modification du compte. De quoi empêcher un “script kiddie” de jouer les “hacker”.
  • Par ailleurs, ne donnez pas les vraies informations sur votre vie sur les réseaux sociaux, ou publiquement sur le web. Marc Zuckerberg n’a pas vraiment besoin de connaitre votre date de naissance.
  • Pour les questions de sécurité, pas la peine de jouer la transparence non plus. Le nom de votre chien n’intéresse pas Apple : utilisez des chines de caractères bidons, et stockez les à l’abri, par exemple dans votre trousseau d’accès.
iPhone 11 vs 11 Pro : quel est le meilleur iPhone ?
Dernière vidéo Abonnez-vous