Cachez ces photos de célébrités dénudées que le Web ne saurait voir. Depuis lundi 1er septembre, le FBI cherche à découvrir qui est à l’origine de la mise en ligne de clichés de Jennifer Lawrence, Rihanna et d’une centaine d’autres personnalités dans ce qui commence à être appeler le CelebGate ou CelebLeak. Apple s’y est mis aussi mais cherche surtout à comprendre le modus operandi du ou des pirate(s).

Son service de stockage en ligne iCloud semble, en effet, être au cœur de cette atteinte à la vie privée de quelques unes de plus grandes stars d’Hollywood. L’auteur de ce piratage qui a mis, littéralement, l’intimité de ces actrices et chanteuses à nu aurait eu accès aux comptes iCloud où étaient stockées les images compromettantes de ses victimes. Apple n’a pas confirmé, mais assure enquêter "activement".

La faille de "Find My iPhone"

À une semaine de sa grande conférence annuelle censée servir de rampe de lancement pour le prochain iPhone, le géant américain a tout intérêt à prendre l’affaire au sérieux. "En terme d’image, ce piratage arrive au pire moment pour Apple", reconnaît Gérôme Billois, expert du Cercle européen de la sécurité informatique et consultant senior pour la société française Solucom.

La méthode utilisée pour entrer par effraction sur des comptes iCloud semble, en effet, tout droit sortie des piratages de la fin des années 90 et jette une lumière peu flatteuse sur la sécurité informatique made in Apple. Le cybercriminel aurait simplement essayé tous les identifiants et mots de passe imaginables jusqu’à tomber sur la bonne combinaison, d’après les informations publiées sur le forum 4Chan, où les images ont été d'abord mises en ligne.

"C’est une méthode connue depuis longtemps et les services en ligne ont généralement mis en place une protection contre ce type d’attaque", rappelle Gérôme Billois. La plupart du temps, après trois ou cinq combinaisons différentes qui ne fonctionnent pas, le service d’authentification bloque le compte pour contrer cette technique basique de piratage.

Car si iCloud, à l’instar de Dropbox, Google Drive et autres services de stockage en ligne, est protégé, ce n’est pas le cas du service "Find My iPhone", qui permet de retrouver son smartphone perdu. En clair, il est possible d’essayer autant de combinaisons d’identifiants qu’on veut, sans être bloqué par Apple. Une fois que la pêche au mot de passe a abouti, il suffit de l’utiliser pour se connecter à iCloud car les mêmes identifiants - appelés Apple ID - sont utilisés pour accéder à tous les services de la pomme.

Des photos osées et des informations sensibles

Cette faille, qu’Apple vient de corriger, n’est pas seulement un problème pour les actrices qui se prennent, à l’occasion, en photo en petite tenue ou sans tenue du tout. Avec l’Apple ID "les pirates informatiques ont, en fait, accès à toutes les informations stockées sur tous les supports des utilisateurs d’appareils Apple", souligne Gérôme Billois. C’est-à-dire que les cybercriminels ont aussi pu consulter la liste de contacts de Jennifer Lawrence, les mails reçus et envoyés par Rihanna ou encore les informations de géolocalisation et le calendrier de rendez-vous de Kirsten Dunst.

"Des pirates informatiques ont très bien pu utiliser la même méthode qui a permis de trouver les photos de célébrités pour accéder aux comptes iCloud de chefs d’entreprise ou de responsables politiques", souligne Gérôme Billois. La question ne se résume donc pas à quelques photos osées volées, mais concerne peut-être aussi des données économiques sensibles qui vont être vendues, en toute discrétion, sur des forums spécialisés en ligne.

Cette erreur d’Apple peut donc coûter très cher. Mais, pour Gérôme Billois, il faut se garder de ne blâmer que la marque à la pomme. "Il y a un mois on avait trouvé une faille dans le service de stockage en ligne Dropbox, auparavant c’était la sécurité de Microsoft qui était mise en cause, et demain ce sera probablement Androïd [le système d’exploitation pour téléphone portable de Google, NDLR] qui sera attaqué : cela démontre simplement qu’aucun de ces services n’est infaillible", résume-t-il.

Reste que, dans l’immédiat, c’est Apple qui en fait les frais. C’est d’autant plus dommageable pour le géant américain qu’il est censé dévoiler, en parallèle aux nouveaux iPhone dans une semaine, des services de gestion des données personnelles de santé et de contrôle, grâce à l’iPhone, des objets connectés d’une maison. Pas sûr que ce scandale n’influe pas sur son calendrier d’annonce.