iCloud est victime d’une grave faille de sécurité, Apple tente de la camoufler

Récemment, Apple a patché une importe faille de sécurité dans iCloud. Un chercheur du nom de Laxman Muthiyah a en effet repéré une vulnérabilité au niveau du système de modification de mot de passe, qu’un pirate pouvait détourner pour prendre le contrôle du compte de sa victime. L’expert affirme que la firme de Cupertino a minimisé l’ampleur du problème.

explorateur apple files

Stocker ses données en ligne peut s’avérer être une solution très pratique pour sauvegarder de l’espace disponible sur ses appareils, mais elle n’est bien entendu pas sans risque. iCloud en a fait plusieurs fois l’expérience, notamment lors de l'affaire des photos volées de célébrités, mais aussi à cause des multiples malwares qui s’en prennent aux services de cloud. Sans compter les vulnérabilités qu’Apple s’efforce de cacher aux utilisateurs.

Laxman Muthiyah, chercheur en cybersécurité, a ainsi découvert une faille de sécurité de grande ampleur impactant la fonctionnalité de modification de mot de passe. Pour permettre aux utilisateurs de regagner accès à leur compte en cas d’oubli, le service envoie un code à 6 chiffres par SMS ou par mail. Si le pirate souhaite arriver à ses fins, il doit donc connaître le numéro de téléphone ou l’adresse mail de sa victime, puis deviner le code à 6 chiffres envoyés parmi le million et quelques de possibilités.

Un pirate peut contourner les mesures de sécurité d’iCloud

La solution la plus efficace pour le pirate serait alors d’utiliser la méthode bruteforce. Apple a prévu cette éventualité et empêche toute tentative en limitant le nombre d’essais à 5. De plus, le nombre de requêtes à partir de la même adresse IP ne peut pas excéder 6. Au total, un individu malveillant aurait donc besoin de 28 000 adresses IP différentes pour « bruteforcer » le code à 6 chiffres envoyé par iCloud. Enfin, pour renforcer encore plus la sécurité de sa plateforme, Apple bloque toutes les requêtes provenant d’un service de cloud comme Amazon Web Services et Google Cloud.

Mais en réalité, comme l’a découvert Laxman Muthiyah, tous les services cloud ne sont pas bloqués, ce qui ouvre la porte aux tentatives de bruteforce. « Nous devons d’abord contourner le code à 6 chiffres du SMS puis le code à 6 chiffres reçu dans l’adresse e-mail », explique le chercheur. « Les deux contournements sont basés sur la même méthode et le même environnement, nous n’avons donc pas besoin de changer quoi que ce soit lorsque nous essayons le deuxième contournement ». Laxman souligne que même l’authentification à deux facteurs ne peut rien faire contre cette faille, bien qu’il reconnaît que « l’attaque n’est pas facile à mettre en place ».

Sur le même sujet : Windows 10 — iTunes et iCloud peuvent vous infecter avec un ransomware, mettez-les à jour !

Le chercheur a immédiatement prévenu Apple de la vulnérabilité, soit en juillet 2020. Ce n’est qu’en avril de cette année que celle-ci a été corrigée, sans que Laxman ne soit mis au courant. « Une très petite minorité de comptes était à risque, et extrêmement peu d’utilisateurs d’appareils Apple étaient vulnérables », a fini par lui dire la firme de Cupertino, ajoutant que « cette attaque ne fonctionne que contre les comptes Apple ID qui n’ont jamais été utilisés pour se connecter sur un iPhone, iPad ou Mac protégé par un mot de passe ».

Apple a minimisé la gravité de la situation

Une justification qui laisse Laxman Muthiyah de marbre. Selon lui, la faille a été patchée dès octobre 2020, soit quelques mois après son alerte. Apple affirme que la vulnérabilité au niveau de la validation du mot de passe n’a jamais existé, mais le chercheur est certain qu’une mise à jour a été effectuée après son signalement.

« S’ils l’ont corrigé après mon rapport, la vulnérabilité est devenue beaucoup plus grave que ce que je pensais initialement. En déterminant le mot de passe par bruteforce, nous serions en mesure d’identifier le bon code d’accès en différenciant les réponses. Nous pouvons donc non seulement prendre le contrôle de n’importe quel compte iCloud, mais aussi découvrir le code de l’appareil Apple qui lui est associé ».

Qu’Apple ait cherché à cacher la gravité de la faille à ses utilisateurs ou non, reste que celle-ci a disparu. Il est donc difficile de savoir si les dires de Laxman Muthiyah sont véridiques. Ce dernier affirme qu’Apple lui a offert 18 000 dollars en échange de son signalement, somme qu’il a refusé, la jugeant trop basse par rapport à l’ampleur de la vulnérabilité.

Source : SecurityWeek


La rédaction vous conseille aussi...

Réagissez à cet article !

Demandez nos derniers articles !

Vous rêviez d’un MMO Le Seigneur des Anneaux ? Le jeu d’Amazon est annulé

On le sentait venir, c’est désormais confirmé : Amazon a abandonné son projet de développer un MMO dans l’univers du Seigneur des Anneaux. Un autre jeu pourrait toutefois voir le…

ChatGPT victime d’un piratage, OpenAI appelle ses utilisateurs sur Mac à mettre à jour l’application

OpenAI a confirmé avoir été la cible d’une cyberattaque cette semaine, cherchant à récolter les données personnelles des utilisateurs. Au final, plus de peur que de mal, mais la firme…

IA

Ninja brade son four à pizza avec cette double promotion : à vous les pizzas faites maison !

Vous connaissez Ninja pour ses airfryers au rapport qualité-prix imbattable, mais saviez-vous que le géant américain propose aussi de quoi préparer de délicieuses pizzas ? Normalement en vente à 379,99…

Forza Horizon 6 : vous devez absolument mettre à jour cette application pour jouer au jeu sur Windows 11

Playground Games, le studio développeur de Forza Horizon 6, vient de dévoiler une information de taille pour tous les joueurs PC. En effet, le jeu ne fonctionnera pas correctement tant…

Votre smartphone Samsung va bientôt s’assurer que vous ne ratiez aucune notification importante

Plusieurs lignes de code retrouvées au sein de One UI 9 laissent penser que Samsung travaille sur un système pour ne plus rater aucun notification. Pour cela, le géant coréen…

L’App Store tel qu’on le connaît pourrait bientôt disparaître à cause de l’IA, voici pourquoi

Apple avait récemment pris des mesures sévères contre certaines applications IA sur l’App Store. Un rapport révèle que la firme envisage désormais le mouvement inverse. La boutique d’applications de l’iPhone…

Windows 11 : Microsoft veut en finir avec les drivers défectueux qui mettent à genoux votre PC

Microsoft a annoncé la mise en place d’un nouveau programme censé résoudre l’un de pires problèmes de Windows 11. En effet, ce dernier vise à mettre fin au déploiement de…

Netflix va diffuser des films d’animation générés par IA

Netflix a créé un nouveau studio en interne, INKubator, dont la mission est de produire des courts-métrages animés à l’aide de l’IA générative. Si une partie du public opère une…

Galaxy Tab S11 Ultra 5G : avec 450 € de réduction, la tablette haut de gamme de Samsung est à son prix le plus bas pour quelques heures encore !

La tablette premium de Samsung vous fait de l’oeil, mais vous hésitez à sauter le pas ? La version 5G de la Galaxy Tab S11 Ultra est actuellement à prix…

HONOR confirme la date de sortie de son Robot Phone et dévoile un partenariat inattendu

Le HONOR Robot Phone n’était jusqu’ici qu’une promesse de salon. La marque vient de lui fixer une date de sortie concrète. Et elle s’est offert un partenaire de poids pour…

Retrouvez sur Phonandroid toute l’actualité autour de l’OS mobile de Google. Le site est une véritable mine d’or autour des produits Android et bien plus ! Vous cherchez un téléphone ou souhaitez maîtriser parfaitement le votre ? Nos articles, dossiers et tutoriels sont là pour vous informer et vous guider. Votre smartphone n’aura plus aucun secret pour vous. Nous vous ferons découvrir les meilleures applications android sur le Google Play. Si les tablettes vous intéressent, vous pourrez suivre l’actualité des différentes marques. Elles sont nombreuses et s’y retrouver est compliqué. Phonandroid et son forum sont là pour vous informer et vous guider.