iCloud est victime d’une grave faille de sécurité, Apple tente de la camoufler

Récemment, Apple a patché une importe faille de sécurité dans iCloud. Un chercheur du nom de Laxman Muthiyah a en effet repéré une vulnérabilité au niveau du système de modification de mot de passe, qu’un pirate pouvait détourner pour prendre le contrôle du compte de sa victime. L’expert affirme que la firme de Cupertino a minimisé l’ampleur du problème.

explorateur apple files

Stocker ses données en ligne peut s’avérer être une solution très pratique pour sauvegarder de l’espace disponible sur ses appareils, mais elle n’est bien entendu pas sans risque. iCloud en a fait plusieurs fois l’expérience, notamment lors de l'affaire des photos volées de célébrités, mais aussi à cause des multiples malwares qui s’en prennent aux services de cloud. Sans compter les vulnérabilités qu’Apple s’efforce de cacher aux utilisateurs.

Laxman Muthiyah, chercheur en cybersécurité, a ainsi découvert une faille de sécurité de grande ampleur impactant la fonctionnalité de modification de mot de passe. Pour permettre aux utilisateurs de regagner accès à leur compte en cas d’oubli, le service envoie un code à 6 chiffres par SMS ou par mail. Si le pirate souhaite arriver à ses fins, il doit donc connaître le numéro de téléphone ou l’adresse mail de sa victime, puis deviner le code à 6 chiffres envoyés parmi le million et quelques de possibilités.

Un pirate peut contourner les mesures de sécurité d’iCloud

La solution la plus efficace pour le pirate serait alors d’utiliser la méthode bruteforce. Apple a prévu cette éventualité et empêche toute tentative en limitant le nombre d’essais à 5. De plus, le nombre de requêtes à partir de la même adresse IP ne peut pas excéder 6. Au total, un individu malveillant aurait donc besoin de 28 000 adresses IP différentes pour « bruteforcer » le code à 6 chiffres envoyé par iCloud. Enfin, pour renforcer encore plus la sécurité de sa plateforme, Apple bloque toutes les requêtes provenant d’un service de cloud comme Amazon Web Services et Google Cloud.

Mais en réalité, comme l’a découvert Laxman Muthiyah, tous les services cloud ne sont pas bloqués, ce qui ouvre la porte aux tentatives de bruteforce. « Nous devons d’abord contourner le code à 6 chiffres du SMS puis le code à 6 chiffres reçu dans l’adresse e-mail », explique le chercheur. « Les deux contournements sont basés sur la même méthode et le même environnement, nous n’avons donc pas besoin de changer quoi que ce soit lorsque nous essayons le deuxième contournement ». Laxman souligne que même l’authentification à deux facteurs ne peut rien faire contre cette faille, bien qu’il reconnaît que « l’attaque n’est pas facile à mettre en place ».

Sur le même sujet : Windows 10 — iTunes et iCloud peuvent vous infecter avec un ransomware, mettez-les à jour !

Le chercheur a immédiatement prévenu Apple de la vulnérabilité, soit en juillet 2020. Ce n’est qu’en avril de cette année que celle-ci a été corrigée, sans que Laxman ne soit mis au courant. « Une très petite minorité de comptes était à risque, et extrêmement peu d’utilisateurs d’appareils Apple étaient vulnérables », a fini par lui dire la firme de Cupertino, ajoutant que « cette attaque ne fonctionne que contre les comptes Apple ID qui n’ont jamais été utilisés pour se connecter sur un iPhone, iPad ou Mac protégé par un mot de passe ».

Apple a minimisé la gravité de la situation

Une justification qui laisse Laxman Muthiyah de marbre. Selon lui, la faille a été patchée dès octobre 2020, soit quelques mois après son alerte. Apple affirme que la vulnérabilité au niveau de la validation du mot de passe n’a jamais existé, mais le chercheur est certain qu’une mise à jour a été effectuée après son signalement.

« S’ils l’ont corrigé après mon rapport, la vulnérabilité est devenue beaucoup plus grave que ce que je pensais initialement. En déterminant le mot de passe par bruteforce, nous serions en mesure d’identifier le bon code d’accès en différenciant les réponses. Nous pouvons donc non seulement prendre le contrôle de n’importe quel compte iCloud, mais aussi découvrir le code de l’appareil Apple qui lui est associé ».

Qu’Apple ait cherché à cacher la gravité de la faille à ses utilisateurs ou non, reste que celle-ci a disparu. Il est donc difficile de savoir si les dires de Laxman Muthiyah sont véridiques. Ce dernier affirme qu’Apple lui a offert 18 000 dollars en échange de son signalement, somme qu’il a refusé, la jugeant trop basse par rapport à l’ampleur de la vulnérabilité.

Source : SecurityWeek


La rédaction vous conseille aussi...

Abonnez-vous gratuitement à la newsletter

Chaque jour, le meilleur de Phonandroid dans votre boite mail !

Réagissez à cet article !

Demandez nos derniers articles !

Google Photos : grâce à ce raccourci, fini la galère pour retrouver les photos stockées sur votre smartphone

Si retrouver les photos et vidéos sauvegardées directement sur votre téléphone s’apparente à un parcours du combattant, ce nouveau raccourci au sein de Google Photos devrait vous faciliter la vie….

Xiaomi : cet objectif externe révolutionnaire pourrait bientôt transformer votre smartphone en appareil photo pro

Les smartphones Xiaomi figurent parmi les meilleurs photophones du marché actuellement. Et la marque chinoise pourrait bientôt mettre la barre encore plus haut. Non pas avec un nouveau smartphone ou…

Cette mise à jour fausse l’affichage de batterie sur la Galaxy Watch 5 Pro

La dernière mise à jour pour montres connectées Samsung ne se passe pas sans accroc. Sur la Galaxy Watch 5 Pro, l’indicateur de batterie devient imprécis. Un simple rechargement peut…

La Steam Machine fera tourner les jeux en 4K à 60 fps, promet Valve

Grâce à l’aide de la technologie FSR, Valve assure que la Steam Machine sera capable de faire tourner la plupart des jeux en 4K à 60 fps, et avec ray…

Forza Horizon 6 : grâce à cette fonctionnalité, vous pourrez reprendre votre partie sur n’importe quelle machine

Le prochain Forza Horizon continue son tour de piste en faisant annonce sur annonce. Et la dernière en date risque de beaucoup plaire aux joueurs qui n’arrivent pas à se…

Bon plan TV QLED 4K : Amazon brade cette TCL de 65 pouces à moins de 450 €

Besoin d’une TV QLED pas chère ? La TCL T8C de 65 pouces est à un prix très intéressant à la veille des JO d’hiver de 2026. Au lieu de…

Dyson V8 Absolute à prix sacrifié : l’iconique aspirateur balai devient accessible avec ce code durant quelques heures !

Les aspirateurs balai Dyson ont la particularité d’être innovants, ultra puissant, mais aussi hors de prix. Heureusement, avec les promotions, vous pouvez trouver des modèles à prix cassé. Normalement en…

Phonandroid : le site se refait une beauté et accueille une nouvelle rubrique !

Et voilà, nous y sommes : la nouvelle version de Phonandroid est en ligne ! Après plus de quinze années d’existence, il était grand temps que le site s’offre un…

À seulement 159 €, cet iPhone a un rapport qualité-prix imbattable !

Les soldes d’hiver sont maintenant terminées, et il faudra maintenant attendre l’édition d’été pour retrouver des offres intéressantes sur les smartphones. D’ici là, en faisant le choix du reconditionné, vous…

Google Photos prépare un nouvel affichage de la galerie, voici à quoi il ressemblera

Si vous trouvez la galerie de Google Photos un peu brouillonne, cette nouveauté à venir devrait vous intéresser. Rien de révolutionnaire, mais une option pratique pour qui souhaite l’activer. L’application…

Retrouvez sur Phonandroid toute l’actualité autour de l’OS mobile de Google. Le site est une véritable mine d’or autour des produits Android et bien plus ! Vous cherchez un téléphone ou souhaitez maîtriser parfaitement le votre ? Nos articles, dossiers et tutoriels sont là pour vous informer et vous guider. Votre smartphone n’aura plus aucun secret pour vous. Nous vous ferons découvrir les meilleures applications android sur le Google Play. Si les tablettes vous intéressent, vous pourrez suivre l’actualité des différentes marques. Elles sont nombreuses et s’y retrouver est compliqué. Phonandroid et son forum sont là pour vous informer et vous guider.