Malin comme un communiquant de chez Apple en situation de crise. Suite à la publication de photos de nus d’une centaine de célébrités, comme Jennifer Lawrence ou Kirsten Dunst, le géant technologique américain a rapidement publié un communiqué de presse, mardi 2 septembre, clamant qu’il “n’y avait pas de faille dans son service iCloud”. La marque à la pomme reconnaît, certes, que des clichés ont bien été récupérés sur son service de stockage en ligne. Mais il s’agit “d’une attaque très ciblée qui a permis de découvrir les identifiants et mots de passe” de certaines célébrités.

Il a fallu “quarante heures” d’enquête aux spécialistes maison pour en arriver à cette conclusion. Celle-ci laisse entendre que la faille concernerait plutôt le niveau de sécurité des mots de passe de Jennifer Lawrence & Co. que d’un problème de sécurité informatique chez Apple. Résultat de cette opération de communication : la plupart des titres de presse soulignent qu’Apple “nie toute faille après le piratage de célébrités”.

De la fiabilité des vérifications d'identité

Cette ligne de défense d’Apple ne répond pas, pour autant, à certaines interrogations sur le niveau de sécurité des services de stockage en ligne de la marque à la pomme. Ainsi, le groupe technologique indique que le piratage résulte d’une attaque visant à deviner les “identifiants, mots de passe et réponses aux questions de sécurité”. “C’est l’une des techniques les plus classiques qui consistent, pour un cybercriminel, à réinitialiser le mot de passe du compte de sa cible en devinant la réponse à la question de sécurité censée garantir que c’est bien le titulaire du compte qui cherche à changer de mot de passe”, explique Jean-François Beuze, président de la société de sécurité informatique Sifaris.

Problème : dans le cas de célébrité du calibre de Rihanna ou Kirsten Dunst, un pirate un peu débrouillard pourrait retrouver sur le Net les réponses aux questions les plus classiques comme “quel a été le nom de votre premier animal de compagnie ?” ou “quel était le nom de jeune fille de votre mère ?”. “On peut se demander si le protocole de sécurité pour recouvrer un mot de passe perdu est bien conçu chez Apple”, remarque Jean-François Beuze.

Flou autour de la sécurité de “Find my iPhone”

Quid d’un autre souci technique affectant le service “Find my iPhone” (pour retrouver son smartphone perdu) qui permettait à un pirate informatique patient de récupérer les identifiants et mots de passe de n’importe quel utilisateur d’un produit Apple ? Pour accéder à “Find my iPhone”, il faut entrer son Apple ID. Il a été prouvé, ce week-end, qu'un cybercriminel pouvait, en toute tranquillité et grâce à ce service précis, utiliser un programme générant des mots de passe à l'infini pour deviner l’Apple ID qui lui donne, ensuite, accès à la plupart des applications d’Apple comme iCloud, Mail ou encore l’agenda. Fait étonnant car, généralement, après un certain nombre de tentatives, la plupart des sites protégés par un mot de passe bloquent le compte pour éviter, justement, qu’un pirate informatique, à force de persévérance, trouve la bonne combinaison.

Apple a corrigé, lundi 1er septembre, cette lacune de "Find my iPhone". Dans son communiqué, le géant américain assure que les photos compromettantes n’ont pas été dérobées en utilisant une “faille de ‘Find my iPhone’”. Mais c’est une manière de contourner l’obstacle. “Dire que les comptes des célébrités n’ont pas été compromis à cause de ce problème ne répond pas à la question aussi importante de savoir si cette faille avérée n’a pas été utilisée pour pirater les comptes d’autres utilisateurs des services d’Apple”, résume Gérôme Billois, expert du Cercle européen de la sécurité informatique et consultant senior pour la société française Solucom.

Une question autrement plus embarrassante pour Apple à une semaine de sa grande conférence de presse de rentrée. À cette occasion, en effet, la marque à la pomme était censée dévoiler, outre de nouveaux iPhone, des services financiers et de santé utilisables sur son iPhone auxquels l’utilisateur pourrait accéder avec… son Apple ID.