Photos de stars nues volées : Apple mène l’enquête et corrige une faille iCloud
Nous en parlions hier, une faille
d’iCloud a été citée concernant le vol de nombreuses photos de stars, diffusées
ensuite sur le web.
Cela pose bien entendu la question de la protection des données
personnelles. Nous en avons d’ailleurs profité pour rappeler
les conseils élémentaires qu’il faut avoir toujours en tête pour les données
personnelles ici.
Aujourd’hui, difficile de savoir avec certitude d’où a pu provenir le vol,
en l’absence de déclaration officielle. Toujours est-il qu’une faille relative
à iCloud a justement été comblée hier. En parallèle, Apple a jugé bon de sortir
de son silence pour faire savoir à ses utilisateurs qu’une enquête est en
cours :
C’est le site
Re/code qui a reçu une réponse de la part d’Apple. Comme d’habitude pas de
grande discussion, une simple phrase suffit pour faire savoir qu’Apple
mène activement l’enquête et prend la sécurité des données personnelles de ses
utilisateurs très au sérieux.
Sans rentrer dans les détails compliqués, une faille a justement été
corrigée hier. Elle touchait le service ‘Find My iPhone’.
Habituellement lorsque l’on demande à un utilisateur de s’identifier, il
n’est possible d’entrer que quelques fois un code erroné avant de se voir
l’accès refusé. Visiblement, ce n’était pas le cas sur le site d’Apple qui
permettait d’essayer autant de mots de passe que souhaité jusqu’à trouver le
bon. Il aurait donc simplement suffi de créer un script qui
allait automatiquement essayer des tonnes de mots de passe jusqu’à décrocher le
sésame et accéder aux données des utilisateurs.
Depuis, le souci semble avoir été éradiqué et l’accès se
bloque au bout d’un certain nombre d’essais. Est-ce cette faille diffusée
depuis fin de semaine dernière qui est à l’origine de la gigantesque
fuite ? Il faudra attendre une communication officielle pour en être
certain. En parallèle de l’enquête menée par Apple, il se dit sur le web que
l’auteur de tout cela, pas très prudent, aurait déjà été identifié.
Vous avez pensé à
protéger vos données privées ?
Belardi2a (posté avec l'app i-nfo.fr V2)
3 septembre 2014 à 0 h 59 min
Sur quel site peut-on voir ses stars toutes nues ?
Frimouss57 (posté avec l'app i-nfo.fr V2)
2 septembre 2014 à 20 h 28 min
Léo
Moi j’me dis…1Password est bien, mais si le concepteur du logiciel pouvait
avoir accès à tes données ?
Je tombe dans la Parrano….
mathetmorg (posté avec l'app i-nfo.fr V2)
2 septembre 2014 à 13 h 36 min
En même temps, voilà un piratage qui régale les yeux !! Y a pire que
Jennifer Aniston a poil ?
J’ai envie de dire merci ?
MEKHAL (posté avec l'application iFon.fr HD)
2 septembre 2014 à 14 h 46 min
Il n’y a que moi qui trouve ça étrange, on pretends que les photos viennent
toutes d’iCloud alors que sur les photos on les voit dans la glace se prendre
en photo avec un Android… C’est quoi le problème ? Elles se sont dit "je vais
les transférer sur mon iPad pour les uploader dans mon flux de photos" ?
ride (posté avec l'app i-nfo.fr V2)
2 septembre 2014 à 13 h 43 min
pile juste avant le lancement de l’iPhone 6 , quelle "co incidence "
Leo
2 septembre 2014 à 13 h 30 min
A priori il se serait servi d’une base de données de seulement 500 mots de
passe (les plus courants) et aurait utilisé une attaque par force brute. Pas
très malignes les stars…
Moi j’utilise l’excellent 1Password, que vous conseilliez dans vos "conseils
élémentaires", et je n’ai que des mots de passe extrêmement forts. Soit environ
50 caractères ou un peu moins quand les sites limitent la longueur de ceux-ci.
Et bien entendu un pass différent par site ou service. En brute force il
faudrait des siècles pour en cracker un seul et cela ne corromprait que le site
visé.
jacoch
2 septembre 2014 à 13 h 57 min
Ce n’est même pas de la force brute justement. Juste une attaque avec la
liste des 500 mots de passe les plus utilisés. Si vraiment le script en
question a été utilisé pour ça. Ca pouvait même se faire à la main 🙂 Mais en
même temps, ça donne que la moitié du login. Ces stars n’avaient quand même pas
utilisé un compte nom.prenom@icloud.com quand même?
Leo
2 septembre 2014 à 17 h 22 min
@jacoch
Même avec seulement 500 mots (de passe, pas seulement du dictionnaire, genre
123456) cela reste du brute force, léger, mais du brute force quand même.
D’ailleurs je suppose qu’un "vrai" brute force commence toujours pas les
dictionnaires usuels. Le contraire serait étonnant.
Concernant les logins il suffit à la limite d’en avoir un (ou d’en deviner
un), ensuite, vu que tu as accès au carnet d’adresses, les stars connaissant
d’autres stars… Mieux encore, tu arrives à trouver dans le carnet l’adresse
d’agents (impresarios) et là c’est le jackpot !
Et puis avec la théorie des six degrés de séparation ça doit aller assez
vite 😉
http://fr.wikipedia.org/wiki/Six_de…
13 (posté avec l'application iFon.fr HD)
2 septembre 2014 à 23 h 23 min
Frimousse.en effet,et un utilisateur partiel de password .celui qui a toutes
ces données ,bingo.
Sinon je dit fake publicitaire de star.comme dit appareil android et icloud en
mire?
Birlou (posté avec l'app i-nfo.fr V2)
3 septembre 2014 à 9 h 14 min
Pourquoi personne n’a volé mes selfies de nu ?
C’est vexant…
Jeetman
3 septembre 2014 à 9 h 39 min
Je suis vraiment déolé pour ces stars, pour avoir vue les photos de Jennifer
Lawrence, ce sont vraiment des photos persos,intime, comme on en a tous de soit
ou son/sa partenaire et qu’on aimerait pas voir affiché aux yeux du monde!
Maintenant je ne peux m’empêcher de dire que faut vraiment pas être très futé
pour aller mettre se style de photo extrêmement intime sur un cloud quelqu’il
soit de surcroit quand on s’appel Jennyfer Lawrence. On peut dire ce qu’on veut
mais le cloud n’est pas un endroit sur, rien ne vaut un bon vieux disque dur
crypté dans son placard ou une clef USB a code physique bien au chaud chez soit
et bien sur pas connecté à son PC allumé 24/24.
Je trouve que le mec qui à fait ça est un Ane parce que l’impacte sur la vie de
ces personnes risque d’être énorme mais franchement quand on est une star la
plus grande des prudences est quand même la meilleur solution.
Leo
3 septembre 2014 à 14 h 55 min
@Frimouss57
La paranoïa c’est soit une maladie (assez grave) soit, quand elle est basée
sur de l’ignorance et peut entraîner des comportements à risque, comme dans le
cas présent, c’est limite de la stupidité (sans vouloir t’offenser).
Mais beaucoup de gens connaissent le risque lié à l’utilisation de mots de
passe trop simples et réutilisés à plusieurs reprises. Ils préfèrent juste
mettrent la tête dans le sable en espérant ne jamais être touchés, en espérant
passer entre les goutes. Et alors quoi de plus facile de prétendre que la seule
solution permettant de limiter les risques (le chiffrement) est elle même un
risque ? Ce n’est plus de la parano, c’est de la feignantise
intellectuelle.
Il est impossible de retenir un password tel que :
oJ{yE4bt>dag6PR7mEWfea2xQ,vp4[YU?Y$G474=3M8f7sA:iT
Qui plus est, quand il en faut un pour le compte Apple, un pour le compte
Amazon, un pour le compte… C’est pour cette raison qu’il faut les noter quelque
part. Mais si ce quelque part est ouvert aux quatre vents cela revient à
stocker toutes ses richesses dans un coffre-fort en laissant la porte grande
ouverte. –> chiffrement !
On n’est pas obligé d’utiliser 1Password. Il existe des programmes libre de
droit comme ceux basés sur PGP. Sur Mac on peut aussi, très simplement, créer
(avec Utilitaire de disque) une image disque chiffrée en AES 256 bits et
stocker à l’intérieur tout documents (fichier texte, photos, vidéos..) qu’il
nous plaira. Bref, les solutions ne manque pas, même si pour moi, 1Password
reste le plus pratique au moment précis où l’on a besoin d’avoir accès à ses
mots de passe. Et avec l’arrivée et le support de Touch ID ça va être encore
plus simple puisque plus besoin à chaque fois de taper le code maître.
Sur le fond (de ta parano;), AgileBits, l’éditeur de 1Password, n’a, à aucun
moment, accès à la base de données renfermant toutes les données que l’on a
bien voulu lui confier, elle reste en local. Quand bien même (synchro, pas
obligatoire, par le biais de DropBox par exemple), la base est cryptée en AES
256 bits et à part les chinois du FBI…