iCloud est victime d’une grave faille de sécurité, Apple tente de la camoufler

Récemment, Apple a patché une importe faille de sécurité dans iCloud. Un chercheur du nom de Laxman Muthiyah a en effet repéré une vulnérabilité au niveau du système de modification de mot de passe, qu’un pirate pouvait détourner pour prendre le contrôle du compte de sa victime. L’expert affirme que la firme de Cupertino a minimisé l’ampleur du problème.

Stocker ses données en ligne peut s’avérer être une solution très pratique pour sauvegarder de l’espace disponible sur ses appareils, mais elle n’est bien entendu pas sans risque. iCloud en a fait plusieurs fois l’expérience, notamment lors de l'affaire des photos volées de célébrités, mais aussi à cause des multiples malwares qui s’en prennent aux services de cloud. Sans compter les vulnérabilités qu’Apple s’efforce de cacher aux utilisateurs.

Laxman Muthiyah, chercheur en cybersécurité, a ainsi découvert une faille de sécurité de grande ampleur impactant la fonctionnalité de modification de mot de passe. Pour permettre aux utilisateurs de regagner accès à leur compte en cas d’oubli, le service envoie un code à 6 chiffres par SMS ou par mail. Si le pirate souhaite arriver à ses fins, il doit donc connaître le numéro de téléphone ou l’adresse mail de sa victime, puis deviner le code à 6 chiffres envoyés parmi le million et quelques de possibilités.

Un pirate peut contourner les mesures de sécurité d’iCloud

La solution la plus efficace pour le pirate serait alors d’utiliser la méthode bruteforce. Apple a prévu cette éventualité et empêche toute tentative en limitant le nombre d’essais à 5. De plus, le nombre de requêtes à partir de la même adresse IP ne peut pas excéder 6. Au total, un individu malveillant aurait donc besoin de 28 000 adresses IP différentes pour « bruteforcer » le code à 6 chiffres envoyé par iCloud. Enfin, pour renforcer encore plus la sécurité de sa plateforme, Apple bloque toutes les requêtes provenant d’un service de cloud comme Amazon Web Services et Google Cloud.

Mais en réalité, comme l’a découvert Laxman Muthiyah, tous les services cloud ne sont pas bloqués, ce qui ouvre la porte aux tentatives de bruteforce. « Nous devons d’abord contourner le code à 6 chiffres du SMS puis le code à 6 chiffres reçu dans l’adresse e-mail », explique le chercheur. « Les deux contournements sont basés sur la même méthode et le même environnement, nous n’avons donc pas besoin de changer quoi que ce soit lorsque nous essayons le deuxième contournement ». Laxman souligne que même l’authentification à deux facteurs ne peut rien faire contre cette faille, bien qu’il reconnaît que « l’attaque n’est pas facile à mettre en place ».

Sur le même sujet : Windows 10 — iTunes et iCloud peuvent vous infecter avec un ransomware, mettez-les à jour !

Le chercheur a immédiatement prévenu Apple de la vulnérabilité, soit en juillet 2020. Ce n’est qu’en avril de cette année que celle-ci a été corrigée, sans que Laxman ne soit mis au courant. « Une très petite minorité de comptes était à risque, et extrêmement peu d’utilisateurs d’appareils Apple étaient vulnérables », a fini par lui dire la firme de Cupertino, ajoutant que « cette attaque ne fonctionne que contre les comptes Apple ID qui n’ont jamais été utilisés pour se connecter sur un iPhone, iPad ou Mac protégé par un mot de passe ».

Apple a minimisé la gravité de la situation

Une justification qui laisse Laxman Muthiyah de marbre. Selon lui, la faille a été patchée dès octobre 2020, soit quelques mois après son alerte. Apple affirme que la vulnérabilité au niveau de la validation du mot de passe n’a jamais existé, mais le chercheur est certain qu’une mise à jour a été effectuée après son signalement.

« S’ils l’ont corrigé après mon rapport, la vulnérabilité est devenue beaucoup plus grave que ce que je pensais initialement. En déterminant le mot de passe par bruteforce, nous serions en mesure d’identifier le bon code d’accès en différenciant les réponses. Nous pouvons donc non seulement prendre le contrôle de n’importe quel compte iCloud, mais aussi découvrir le code de l’appareil Apple qui lui est associé ».

Qu’Apple ait cherché à cacher la gravité de la faille à ses utilisateurs ou non, reste que celle-ci a disparu. Il est donc difficile de savoir si les dires de Laxman Muthiyah sont véridiques. Ce dernier affirme qu’Apple lui a offert 18 000 dollars en échange de son signalement, somme qu’il a refusé, la jugeant trop basse par rapport à l’ampleur de la vulnérabilité.

Source : SecurityWeek