Applications
Il risque vingt ans de prison pour avoir volé des photos iCloud
Et comment faire pour éviter de retrouver ses fichiers personnels dans la nature.
Un habitant de La Puente (CA) a réussi à obtenir les identifiants iCloud de près de 4 700 personnes de façon totalement illégale, selon un fait divers rapporté par le journal local Los Angeles Times. Hao Kuo Chi, quarante ans, se faisait en réalité passer pour un membre de l’équipe d’Apple en envoyant de faux e-mails de support à ses victimes depuis une adresse… GMail.
Les cibles, pour la plupart des jeunes femmes relativement naïves, ne vérifiaient alors pas le préfixe de l’expéditeur et lui fournissaient directement nom d’utilisateur et mot de passe sur demande. Objectif pour le pirate : accéder à leur compte afin d’y rechercher des photos dénudées et donc potentiellement compromettantes, afin de les envoyer à des commanditaires.
Un demi-million d’images volées
D’après le LA Times, Chi aurait ainsi pu mettre la main sur 620 000 clichés privés. Plusieurs de leurs propriétaires en auraient alors fait les frais, certains se retrouvant jusque sur des sites pornographiques. Le nombre de victimes serait d’au moins 306, mais il est tout à fait probable que d’autres n’aient pas fait le lien avec l’agresseur ou tout simplement pas souhaité porter plainte pour éviter des ennuis supplémentaires.
La cour a retenu quatre chefs d’accusation différents pour lesquels le hacker plaide coupable, dont “complot pour obtenir un accès non autorisé à un ordinateur“. Chaque délit est punissable de cinq ans d’emprisonnement aux États-Unis, signe que l’homme pourrait terminer sa vie derrière les barreaux sauf si le jury s’avère assez clément. Comme à son habitude dans ce genre d’affaire, Apple n’a pour sa part pas publié de réaction officielle.
Se protéger contre les attaques
La stratégie utilisée ici par le criminel pour arriver à ses fins -il aurait également eu des complices non identifiés- ne fait appel à aucune connaissance solide en cybersécurité ou en cryptographie. Au contraire, il s’agit plutôt de capitaliser sur des failles humaines comme le manque de méfiance ou une protection trop faible de son compte iCloud. Pour y remédier, plusieurs solutions s’offrent à vous :
- s’assurer que les e-mails de support reçus se terminent bien par un nom de domaine appartenant à Apple
- activer l’authentification à double facteur dès que possible
- ne communiquer des photos à risque que via des apps plus sécurisées et non scannées par leur propriétaire en activant l’auto-destruction
Par ailleurs, sachez qu’Apple ne vous demandera jamais de communiquer vos identifiants par e-mail ou via un quelconque autre moyen de communication. Pour tout doute, le signaler sur la plateforme PHAROS.