Au cœur de la controverse depuis la découverte du piratage des photos privées de stars, qui s'est déroulé sur iCloud, Apple ne pouvait pas ne pas réagir. Alors que la polémique ne faiblit pas, le groupe américain a décidé d'intervenir dans la presse afin de lister un certain nombre de mesures destinées à durcir la sécurité de la plateforme et qui seront déployées dans les prochaines semaines.
Officiellement, les assaillants n'ont pas exploité à proprement parler une faille logicielle pour accéder frauduleusement aux comptes iCloud des personnalités ni pénétrer dans les serveurs du groupe pour y dérober la base de données contenant les noms d'utilisateur et les mots de passe.
Selon la firme américaine, les assaillants ont simplement été très malins, puisqu'ils sont parvenus à deviner le mot de passe et / ou la question secrète verrouillant son service de stockage à distance.
Sécurité insuffisante ou négligence de l'usager ?
Cependant, les précisions de la firme de Cupertino tombent quelque peu dans l'oreille d'un sourd.
Dans la mesure où le piratage a impliqué iCloud, c'est lui qui est pointé du doigt, en témoigne ce message publié par Kirsten Dunst après l'incident. Or, il est sans doute trop tôt pour écarter l'hypothèse d'une découverte fortuite des codes d'accès. Les victimes ont peut-être négligé la robustesse de leur mot de passe ou opté pour une question secrète dont la réponse est trop évidente.
D'ailleurs, c'est cet aspect que le PDG d'Apple, Tim Cook, a tenu à souligner au cours de son entretien avec le Wall Street Journal. "Quand je prends du recul sur ce terrible évènement et que je me demande ce que nous aurions pu faire de plus, je pense à l'aspect sensibilisation. Je pense que nous avons la responsabilité d'aller plus loin. Ce n'est pas tant une question d'ingénierie".
En filigrane, Tim Cook reprend la position du communiqué de la société qui laissait entendre que les utilisateurs n'ont pas de bonnes pratiques en matière de sécurité. "Pour se protéger contre ce type d'attaque, nous conseillons à tous les usagers d'utiliser constamment un mots de passe solide et d'activer la vérification en deux étapes", indiquait-il, sous entendant que beaucoup ne le font pas.
De nouvelles sécurités
Quoiqu'il en soit, Tim Cook a reconnu que les conseils d'Apple pour sécuriser un compte iCloud étaient insuffisants. Aussi un mécanisme d'alerte sera mis en place pour notifier par mail les utilisateurs en cas de changement de mot de passe ou de tentative de transfert de fichiers depuis iCloud vers un appareil non reconnu ou se connectant pour la première fois au compte.
Apple va également encourager plus fortement les utilisateurs à activer la vérification en deux étapes. Aujourd'hui, beaucoup d'entre eux n'utilisent pas cette protection, alors qu'elle fournit un niveau de sécurité très élevé. Concrètement, il s'agit, en plus du mot de passe (qui doit être robuste, exclusif au service et secret), de renseigner un code d'accès.
Ce code d'accès est la plupart du temps généré via une application mobile rattaché au compte. Ce code d'accès est renouvelé au bout de quelques secondes. Le piratage d'un compte est alors très compliqué, puisque l'un des rares moyens d'y parvenir est de connaitre le mot de passe et d'avoir accès physiquement au terminal sur lequel se trouve l'application mobile.
Selon Tim Cook, ces différentes mesures seront proposées dans les semaines à venir. Mais craignant sans doute que cette affaire fasse de l'ombre à sa prochaine conférence, qui aura lieu la semaine prochaine et qui revêt une importance stratégique du fait des annonces qui y sont attendues, le PDG a préféré prendre les devants et les détailler dès maintenant.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
