Apple a corrigé aujourd'hui une faille de sécurité qui permettait de trouver le mot de passe iCloud du propriétaire d'un iPhone par "force brute".

A qui la faute ? La question est sur toutes les lèvres depuis que des photos de célébrités nues piratées sur iCloud ont été diffusées par un hacker dimanche. S'il s'en est trouvé quelques uns pour estimer que les stars victimes du hacker étaient elles-mêmes responsables du fait d'avoir fait confiance à un tiers pour héberger des clichés aussi personnels, la responsabilité première d'Apple dans l'incident reste fortement suspectée.

En effet, The Next Web révèle qu'un script en Python est apparu il y a deux jours sur Github, qui permettait de découvrir le mot de passe iCloud d'une cible par la méthode bête et méchante de la "force brute" (tester tous les mots de passe possibles et imaginables jusqu'à trouver le bon), rendue possible par une faille dans le service "Localiser mon téléphone" d'Apple — un service déjà exploité par le passé par des hackers.

En principe, les fournisseurs de services en ligne mettent en place des protections qui évitent de répéter un nombre infini de tentatives de connexion. Au delà d'un certain nombre d'échecs, l'accès au compte est bloqué, ou au minimum suspendu pour un certain temps. Mais selon l'auteur du script, l'API de l'application "Localiser mon téléphone" n'était pas protégé par ce type de sécurité, permettant aux hackers de réaliser autant d'essais qu'ils le souhaitaient (il reste toutefois étonnant que même les serveurs ne soient pas configurés pour éviter le flood à partir d'une même adresse IP).

Apple aurait corrigé la faille ce lundi, confirmant implicitement qu'il pourrait s'agir de la méthode utilisée par le hacker. Désormais, le compte est verrouillé après cinq tentatives infructueuses.

La méthode est décrite dans ce document mis en ligne par @hackapp :

Partager sur les réseaux sociaux

Articles liés