Alors qu’Apple s’était dédouanée de toutes responsabilités quant au CelebGate, appellation donnée aux fuites de photos de nues des célébrités, le site DailyDot révèle que la firme avait été avertie du problème d’iCloud par le chercheur en sécurité Ibrahim Balic six mois plus tôt, précisément le 26 mars 2014.

Ibrahim expliquait dans son premier mail à un ingénieur Apple qu’il avait repéré une faille lui permettant pirater les comptes iCoud et de faire plusieurs tentatives, en employant la méthode « Force brute » qui consiste à forcer le passage de la sécurité avec pas moins de 20.000 combinaisons dans son cas.

Au cours de leurs différents échanges, Apple a répondu que cette faille ne présentait pas une réelle inquiétude de fait que le temps nécessaire pour arriver à contourner la sécurité d’iCloud serait « extraordinairement long ».

celebgate-apple-etait-au-courant-depuis-six-mois-pour-la-methode-force-brute

Un peu plus tard, le 6 mai, Apple demande à Ibrahim si sa méthode lui permettait d’accéder à un compte iCloud sans même connaitre les identifiants et surtout de façon assez rapide. Clairement, la réponse a été tout aussi rapide puisqu’un script Python a permis d’automatiser les tentatives de piratage. Ceci a engendré le problème que nous connaissons tous, le CelebGate, celui des photos de nues des célébrités largement relayées sur la toile et les réseaux sociaux.

Apple a vite été accusée par les différentes victimes avant qu’elle ne décide très vite de combler une faille existante dans iCloud. Elle avait fait savoir par la suite que ce problème ne venait pas de chez elle ni même que la sécurité d’iCloud était affectée. (Oups, finalement si !)

Le vrai problème est surtout qu’Apple a été prévenue bien avant que les comptes ne soient piratés et que l’affaire prenne une telle ampleur. Entre mars et Septembre, Apple aurait largement eu le temps de s’attaquer au problème sérieusement. Et d’autant que Ibrahim Balic n’est pas inconnu puisqu’il avait déjà fait parler de lui en 2013 à l’époque de l’affaire des comptes du Dev Center piratés. Il précisait même qu’il détenait 100 000 identifiants Apple, grâce à une faille dans iAd Workbench – où là encore il avait pris soin de prévenir la firme de Cupertino.

Cette histoire ne fait pas le bonheur d’Apple, on s’en doute, mais il est nécessaire qu’elle prenne le problème à bras le corps et rapidement concernant la sécurité en générale de ses appareils iOS et des comptes de ses utilisateurs où des millions de données privées sont stockées…

Partager un commentaire