Photos volées de stars nues : une affaire de mot de passe

Jennifer Lawrence, star de Hunger Games, est la première victime du hacker [FREDERIC J. BROWN]

Il a suffi d'un oubli d'Apple, d'un logiciel simple et d'un mode d'emploi pour que n'importe qui puisse accéder ce week-end à des comptes personnels sur iCloud : Gérôme Billois, expert en cyber-sécurité, décode le vaste piratage de dizaines de photos de stars hollywoodiennes dénudées.

 

Comment les photos ont-elles été piratées ?

"Des pirates ont volé le mot de passe de célébrités pour leur compte iCloud, le service en ligne d'Apple qui stocke tout type de contenus. Ce week-end, quelqu'un a posté sur le site GitHub un message dévoilant une faille de sécurité dans le service +localiser mon iPhone+ d'Apple, une application qui permet de localiser un smartphone disparu. Sur la partie du service destinée aux développeurs, mais accessible à tous en ligne, Apple n'avait pas verrouillé l'interface dans laquelle il faut entrer le mot de passe de son compte iCloud : le nombre d'essais était illimité, alors que le portail grand public d'Apple bloque après cinq tentatives erronées. En même temps, le pirate a posté un logiciel qui teste automatiquement tous les mots de passe possibles, un outil dit "Brute force", qu'il avait rebaptisé iBrute - contraction d'iCloud et de Brute Force. Et il expliquait comment l'utiliser très simplement. N'importe qui a pu alors forcer des comptes iCloud de stars et accéder à leurs contenus, y compris les photos de leurs téléphones".

 

Peut-on éviter de tels piratages ?

"On stocke maintenant toutes ses données dans le cloud (le nuage informatique, c'est-à-dire des serveurs extérieurs). iCloud est le service d'Apple où on peut accéder à tous ses documents de n'importe quel appareil. Cela permet par exemple, quand on change de téléphone, de retrouver et de recharger toutes ses données, mails, photos, etc. D'un point de vue fonctionnel, c'est très bien. Mais la clé de voûte de tous ces services repose sur le mot de passe, qui est souvent faible et dont on sert pour différents services. C'est pour cela qu'on vous demande d'utiliser des mots de passe longs ou avec des chiffres. Il est encore mieux d'utiliser des authentifications à deux facteurs : par exemple, on vous demande aussi un code envoyé par SMS à votre téléphone, comme le font certaines banques. Quant aux questions secrètes (qui peuvent remplacer le mot de passe), d'une part, il faut avoir confiance dans les personnes susceptibles de connaître les réponses, et d'autre part, si vous êtes une célébrité, il est facile de trouver votre lieu de naissance ou autre question +secrète+ habituelle".

 

On parle souvent de failles de sécurité. Est-ce fréquent ?

"Le code d'éthique des experts en sécurité informatique consiste à ne révéler les failles qu'une fois qu'elles ont été corrigées. Là, celui qui a révélé la faille n'a pas informé Apple avant et en plus, il a fourni un outil d'attaque. Il a même aussi sorti la liste des 500 mots de passe les plus utilisés. Le groupe a corrigé l'erreur mais il lui a fallu du temps pour réagir, ce qui est normal, car il faut au moins 24 heures pour vérifier si les failles existent". 

 

Gérôme Billois est expert au Cercle européen de la sécurité et des systèmes d'information et au sein du cabinet Solucom, une société de sécurité informatique.
    

Vous aimerez aussi

Ailleurs sur le web

Derniers articles