Tech & internet

Faille d'Apple, piratage du WiFi des Emmy Awards, assistant malveillant: les scénarios qui expliquent la fuite des photos de stars dénudées

Temps de lecture : 3 min

 «smartphone» par r. nial bradshaw  | FlickR

Un jour après la fuite de photos intimes de nombreuses célébrités américaines, l'attention se porte désormais sur le procédé qui a mené à ce leak de grand ampleur.

Plusieurs théories sont déjà avancées, la première privilégiant l'exploitation d'une vulnérabilité d'une des applications d'Apple, qui aurait ensuite ouvert les portes de son service de stockage, l'iCloud.

Soupçonné depuis le départ en raison de la présence d'indices sur les images suggèrant qu'elles proviennent bien de ses serveurs, Apple aurait en fait pâti de son application Find My iPhone, qui permet de retrouver, en cas de besoin, son appareil. A l'inverse d'autres services, Find My iPhone ne bloque pas la tentative de connexion après deux, ou trois erreurs de mots de passe. Elle autorise en effet un nombre illimité de tentatives de connexions au compte de l'utilisateur tentant (a priori du moins) de retrouver son appareil. Une faille exploitée par de simples lignes de codes qui constitue un procédé judicieusement intitulé «iBrute». Ars Technica en décrit le principe en ces termes:

«Cette attaque en force consistait à tester des combinaisons d'adresses mail et de mots de passe, extraits de deux fichiers de "dictionnaire" séparés. Cela suppose une connaissance (ou de bonnes intuitions) des adresses mails iCloud des cibles, ainsi qu'une énorme liste de mots de passe potentiels. [...] Une fois la manipulation réussie, l'attaquant peut alors se connecter à l'iCloud et récupérer des sauvegardes de l'iPhone, des images et d'autres données.»

Le code iBrute en action |via Imgur et The Next Web

La vulnérabilité de Find My iPhone, ainsi que le code iBrute, avaient été signalés sur le site GitHub, très utilisé par les développeurs, il y a quelques jours à peine. Quelques heures après l'annonce de la fuite de photos, la personne à l'origine de ce script, un certain Hackapp, écrivait sur ce même site: «la fête est terminée! Apple a patché [réparé la faille]», rapporte The Next web.

S'il affirme sur son compte Twitter qu'une telle intrusion aurait pu être évitée avec un mot de passe solide, ce même Hackapp rappelle que rien ne prouve, pour le moment en tout cas, que la faille qu'il a détectée, ainsi que son bout de code, soient à l'origine de cette fuite massive de photos.

Pour Business Insider, s'il se confirme, le recours à iCloud n'est de toute façon qu'un pan de l'histoire. D'autres indices laissés sur les photos publiées laissent penser qu'elles proviennent en effet d'autres services de stockage (comme celui de Google, Drive, ou Dropbox), ou bien encore de Snapchat. L'application, très populaire du fait notamment du caractère prétendument éphémère des photos et des vidéos qui y sont postées, se faisait il y a quelques mois à peine taper sur les doigts par l'administration américaine pour avoir exagéré la sécurité de son système...

Business Insider, ainsi que Venture Beat, envisagent également la possibilité d'une fuite lancée par un proche des célébrités, tel qu'un assistant ayant accès à leurs différents comptes sur Internet... et donc à leurs photos diverses et variées.

Le vol de matériel n'est pas non plus exclu, bien qu'improbable vu la variété et la portée des fuites. Une autre théorie, digne d'un scénario à la Ocean's Eleven version braquage de données sur Internet, envisage «le piratage d'un groupe de célébrités ayant assisté à la récente cérémonie des Emmy Awards», poursuit Business Insider. C'est la connexion Wi-Fi de la salle qui aurait alors, selon ce scénario du moins, permis l'intrusion dans leur téléphone portable.

Inscrivez-vous à la newsletter de SlateInscrivez-vous à la newsletter de Slate

Toutes ces théories rappellent néanmoins deux choses: que ce n'est jamais de la faute d'Internet, de ses tuyaux et de ses serveurs puisqu'à chaque fois, le facteur humain est nécessaire. Et que le stockage en ligne, même vendu comme infaillible, imperméable, ultra-sécurisé ne peut jamais l'être à 100%, et nécessite donc à ce titre certaines précautions, telles que le choix d'un bon mot de passe, ou la sélection scrupuleuse des photos, vidéos, et documents qu'on décide de confier à un tiers.

Newsletters

Orelsan, star de LinkedIn, inspiration des chefs d'entreprise

Orelsan, star de LinkedIn, inspiration des chefs d'entreprise

Fort du succès de son dernier album «Civilisation», le rappeur est devenu l'un des sujets les plus tendance sur LinkedIn, où il est loué pour son génie marketing. Un phénomène curieux, tant le rappeur s'est construit une image aux antipodes du bourreau de travail.

Aux États-Unis, l'aviation civile s'inquiète du déploiement de la 5G

Aux États-Unis, l'aviation civile s'inquiète du déploiement de la 5G

Elle craint que la bande C n'interfère avec certains outils de sécurité des avions.

Faut-il utiliser un VPN pour mater du porno?

Faut-il utiliser un VPN pour mater du porno?

Vous ne serez jamais totalement anonyme sur internet.

Podcasts Grands Formats Séries
Slate Studio