Après une enquête interne, Apple est formel : ses services n'ont pas été piratés par celui à l'origine de la diffusion illicite des photos et vidéos privées de célébrités. L'entreprise suggère que l'assaillant a utilisé une méthode qui n'a pas exploité une vulnérabilité logicielle. Cependant, Apple n'a rien dit sur une faille découverte en début de semaine.

iCloud n'est pas en cause. Voilà en somme le message qu'a voulu faire passer Apple dans un communiqué publié ce mardi, deux jours après la découverte d'un piratage de grande ampleur qui s'est soldé par la fuite de nombreuses photos et vidéos privées de plusieurs personnalités américaines, dont Jennifer Lawrence, Kirsten Dunst, Kaley Cuoco ou encore Kate Upton.

"Après plus de 40 heures d'enquête, nous avons découvert que certains comptes appartenant à des célébrités ont été compromis par une attaque particulièrement ciblée sur les noms d'utilisateur, les mots de passe et les questions de sécurité […]. Aucun des cas que nous avons étudiés n'a résulté d'une quelconque faille dans les systèmes d'Apple, y compris iCloud ou Localiser mon iPhone", écrit l'entreprise.

En résumé, Apple estime n'être aucunement fautif. S'il y a effectivement eu une attaque, l'assaillant n'a pas exploité une vulnérabilité contenue dans les produits et / ou les services du groupe américain. Alors comment aurait-il procédé ? Plusieurs théories circulent, allant d'une complicité interne au sein de l'entreprise au piratage du WiFi lors de la dernière cérémonie des Emmy Awards.

L'usager et la sécurité informatique

Si Apple ne s'estime pas fautif, le groupe a toutefois achevé son communiqué en laissant entendre que les utilisateurs n'ont pas de bonnes pratiques en matière de sécurité informatique, surfant ainsi sur le célèbre acronyme PEBCAK : Problem Exists Between Chair And Keyboard, "l'origine du problème se trouve entre la chaise et le clavier".

Autrement dit, c'est l'incompétence de l'utilisateur qui pose problème et qui, dans cette affaire, pourrait bien expliquer beaucoup de choses. "Pour se protéger contre ce type d'attaque, nous conseillons à tous les usagers d'utiliser constamment un mots de passe solide et d'activer la vérification en deux étapes", conseille Apple. Cela dit, la société n'a pas toujours proposé l'authentification forte (son autre nom, ndlr).

Quid de la faille potentielle repérée récemment ?

De plus, une vulnérabilité décrite par The Next Web aurait été corrigée en début de semaine : elle permettrait de tenter de deviner le mot de passe pour accéder au compte iCloud, sans aucune limite. Désormais, le compte est verrouillé après cinq tentatives ratées. Or dans son communiqué, Apple ne mentionne pas cette faiblesse. Est-ce à dire que le groupe américain ne la considère pas ainsi ?

Quoiqu'il en soit, Apple poursuit son travail d'enquête et continue de collaborer avec les autorités américaines, qui ont confirmé être à la recherche du responsable de cette violation de la vie privée et de ses éventuels complices.

Partager sur les réseaux sociaux

Articles liés