Touche pas à mes célébrités. Le PDG d’Apple Tim Cook - en personne - a annoncé, jeudi 4 septembre au "Wall Street Journal", la mise en place de nouvelles mesures de sécurité censées éviter une nouvelle affaire de vols de photos dénudées de stars.

Cette montée au créneau du patron de la marque à la pomme arrive moins d’une semaine après le piratage du service maison de stockage en ligne iCloud. L'annonce intervient également quelques jours seulement après un premier communiqué assurant qu’il n’y avait aucune faille dans les services en ligne d’Apple.

Notifications et authentification forte

Le groupe veut donc agir rapidement et frapper fort. Normal, dans quelques jours, il doit présenter un nouvel iPhone et ne peut se permettre de traîner une mauvaise réputation en matière de sécurité informatique. Pour autant, les mesures annoncées par Tim Cook seront-elles suffisantes ?

"Oui", assure haut et fort le PDG d'Apple. Les notifications sur iPhone et iPad ainsi que des mails seront envoyés en cas de modification du mot de passe pour accéder à iCloud. Ou lors d'une connexion à ce service de stockage en ligne depuis un nouveau Mac, iPhone ou iPad.

En outre, le géant américain veut renforcer le système d’authentification. Un simple mot de passe ne sera plus suffisant pour se connecter à iCloud. Il faudra, en plus, entrer un deuxième code unique généré spécifiquement pour chaque utilisateur. C’est déjà le cas pour la plupart des services bancaires en ligne. Apple doit préciser les détails de cette mesure lors de sa conférence de presse du 9 septembre.

L’œuf ou la poule ? La sécurité ou la simplicité ?

"Avec ces mesures, le piratage des comptes iCloud des célébrités n’aurait pas été possible, du moins pas aussi facilement", assure Mohammed Boumediane, président fondateur de la société française de sécurité informatique HTTPCS. Jennifer Lawrence aurait ainsi reçu une notification sur son iPhone l’informant que quelqu’un essayait de télécharger le contenu de son iCloud.

La mise en place de ces mesures - considérées par les experts en sécurité comme le B.A. - BA en la matière pour les services de stockage en ligne - constitue une vraie révolution de palais à Cupertino (siège du groupe). "Apple est célèbre pour proposer une expérience utilisateur la plus accessible possible et a pu, à l’occasion, privilégier la simplicité sur la sécurité", rappelle Loïc Guézo, spécialiste de la cyber-sécurité pour la société japonaise de sécurité informatique Trend Micro. Devoir entrer plusieurs mots de passe ou recevoir une multitude de notifications risquent de parasiter la sacro-sainte expérience utilisateur.

Après iCloud, à qui le tour ?

Mais cette entorse à la philosophie maison ne signifie pas pour autant qu’une attaque informatique similaire à celle subie par ces célébrités n'aura plus jamais lieu. "Hier c’était Apple, et demain ce sera un autre service de stockage en ligne", affirme Loïc Guézo.

Car iCloud n’est probablement pas la seule solution de stockage ciblée lors de l’attaque. "Il y a des indices qui suggèrent que certaines images proviennent d’autres sites similaires [comme Dropbox ou Google Drive, NDLR]", remarque Gérôme Billois, expert du Cercle européen de la sécurité informatique et consultant senior pour la société française Solucom.

Du côté de ces concurrents à iCloud, c’est le silence radio ou presque. "Ils font essentiellement de la communication, ce qui est utile pour sensibiliser les utilisateurs à la nécessité de choisir des mots de passe difficiles à deviner", remarque Loïc Guézo. Mais ça ne change pas fondamentalement la donne pour les pirates informatiques. Malgré tout le pataquès médiatique autour de la publication des photos volées, "je ne peux pas dire que le 'cloud' [les services dans le nuage, NDLR] est beaucoup plus sûr à utiliser aujourd’hui qu’il y a une semaine", souligne Loïc Guézo. Mais tant qu’Apple peut faire sa grand messe médiatique de septembre sans être embêté par des questions de sécurité informatique, tout va bien non ?