Apple, au courant de la faille de son système iCloud ?

iCloud

On ne refera pas l’histoire, mais il s’avère qu’Apple était certainement au courant de la faille de iCloud que des petits malins ont exploité pour ouvrir des comptes de stars et publier leurs photos… intimes. Un développeur s’est fait connaître en dévoilant qu’il avait rapporté ce bug il y a six mois de ça.

Les temps sont durs à Cupertino : entre les mises à jour vaseuses d’iOS et les iPhone 6 Plus qui se plient. Il ne manquait plus que le déni d’un souci de sécurité entraînant un CelebgateIbrahim Balic, développeur de son état, a déclaré avoir contacté Apple il y a 6 mois de ça pour leur signaler qu’il était possible d’outrepasser la sécurité de iCloud.

Balic partage sa correspondance par courriel avec l’entreprise et apparemment, Apple aurait tout à gagner en traitant les WhiteHats (ceux qu’on pourrait qualifier de « gentils pirates ») avec un peu plus de déférence. Balic a pu déverrouiller des comptes en essayant jusqu’à 20 000 mots de passe différents. Les échanges ont commencé en Mars et Apple a daigné répondre en Mai, en demandant des détails sur la méthode utilisée. Toutefois, ils n’ont pas précisé si la faille avait été corrigée. Et manifestement, ce ne fût pas le cas.

Pour l’heure, le lien officiel n’est cependant pas fait, rien ne dit que les pirates ont utilisé la même méthode. Quoi qu’il en soit, elle pointe tout de même vers le même type de vulnérabilité. A la base, il a été dit que les comptes avaient été hackés, les pirates ont seulement découvert la bonne combinaison « login/mot de passe » et sans l’usage de la double authentification, ils ont eu l’accès aux sauvegardes des célébrités.

Il existe peut-être une autre faille de ce type, et il est inquiétant de voir qu’Apple prend (amplement) son temps pour colmater les failles de ses systèmes et n’écoute pas les gentils développeurs qui pourraient lui éviter un scandale. Innocents, tant qu’on a pas prouvé qu’ils avaient tort…

Tags :Sources :dailydot
Dernières Questions sur UberGizmo Help
    1. Surtout que ce n’est pas une faille dont il est question ici mais juste d’une connerie d’oublie dans le dev de la page d’identification…

      Au lieu de bloquer les tentatives a un nombre Max définie. Il n’existait aucun blocage ou temporisation. Tu peux donc tester tous les pass sans te faire jeter de la page.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Publicité