La fuite de photos de célébrités met à nu la vulnérabilité des données stockées sur le cloud gratuit
Jennifer Lawrence, Kate Upton, Kirsten Dunst... Ce sont plus d'une vingtaine de stars dont les photos et vidéos intimes ont été divulguées sur Internet depuis dimanche 31 août. De nombreuses autres pourraient l'être dans les jours qui viennent. Ces fichiers très personnels ont été volés sur les services cloud associés aux smartphones des victimes, notamment l'iCloud d'Apple. Un piratage qui souligne les failles inhérentes à la sécurité du stockage de fichiers en ligne.
Julien Bergounhoux
Une star prend un "selfie" d'elle-même dans son plus simple appareil, une photo faite pour un proche... mais qui se retrouve finalement, parfois des années plus tard, sur Internet. Ce scénario n'est pas nouveau, la dernière grande affaire en date (concernant Scarlett Johansson, Christina Aguilera, Mila Kunis et une dizaine d'autres personnalités) remonte à 2011, et avait vu son auteur, Christopher Chaney, condamné à 10 ans de prison. Mais les hackers ne reculent pas devant la menace de représailles légales, et les failles de sécurité qui rendent possible le piratage de photos et autres données personnelles se multiplient à mesure que l'interconnexion de la mobilité et du cloud augmente.
nom de code : iBrute
Le scandale actuel implique des dizaines de stars, notamment Jennifer Lawrence, détentrice d'un Golden Globe et triple nominée aux oscars, mais aussi Kate Upton, Kirsten Dunst, Ariana Grande, Aubrey Plaza... Comme ZDnet le rapporte, il fait suite à la publication sur GitHub le 30 août d'une faille découverte dans l'application Find My Phone d'Apple. Baptisé iBrute, ce petit bout de code visait à démontrer que le service n'était pas protégé contre les attaques dites de "force brute", c'est à dire essayant une succession très rapide de mots de passe les uns après les autres jusqu'à trouver le bon. Il était possible de cette manière d'obtenir les identifiants de comptes Apple. Comme souvent dans ce genre de situation, l'éditeur concerné (ici Apple donc) a corrigé le problème rapidement, dès le 1er septembre. Mais le mal était fait. Entre la publication de la faille et sa correction par Apple, la vulnérabilité a été utilisée par des personnes mal intentionées pour pirater les comptes iCloud de célébrités. Une fois obtenu l'accès au compte, les pirates ont utilisé Elcomsoft Phone Password Breaker (EPPB), un logiciel russe destiné à l'origine aux forces de l'ordre, pour extraire l'intégralité des données.
Sauvegardes automatiques
Le nombre de comptes concernés s'explique par le fait que toutes les photos acquises de cette manière proviennent de smartphones qui effectuent par défaut des sauvegardes automatiques sur le cloud de leur fabricant. Un système qui n'est pas toujours clairement expliqué aux utilisateurs, et qui, comme beaucoup de services stockant des photos en ligne (Flickr, Facebook, Google+), demeure flou sur ce qui est accessible publiquement et ce qui ne l'est pas. La leçon à tirer de cet évènement reste que la protection des données, qu'elle soit de l'ordre privé ou professionnel, ne peut être confiée à un service gratuit et grand public. Une photo compromettante n'est pas en sécurité sur iCloud ou Facebook, et un fichier stratégique crucial pour une entreprise n'est pas en sécurité sur Google Drive.
La fuite de photos de célébrités met à nu la vulnérabilité des données stockées sur le cloud gratuit
Tous les champs sont obligatoires
0Commentaire
Réagir