iCloud est victime d’une grave faille de sécurité, Apple tente de la camoufler

Récemment, Apple a patché une importe faille de sécurité dans iCloud. Un chercheur du nom de Laxman Muthiyah a en effet repéré une vulnérabilité au niveau du système de modification de mot de passe, qu’un pirate pouvait détourner pour prendre le contrôle du compte de sa victime. L’expert affirme que la firme de Cupertino a minimisé l’ampleur du problème.

explorateur apple files

Stocker ses données en ligne peut s’avérer être une solution très pratique pour sauvegarder de l’espace disponible sur ses appareils, mais elle n’est bien entendu pas sans risque. iCloud en a fait plusieurs fois l’expérience, notamment lors de l'affaire des photos volées de célébrités, mais aussi à cause des multiples malwares qui s’en prennent aux services de cloud. Sans compter les vulnérabilités qu’Apple s’efforce de cacher aux utilisateurs.

Laxman Muthiyah, chercheur en cybersécurité, a ainsi découvert une faille de sécurité de grande ampleur impactant la fonctionnalité de modification de mot de passe. Pour permettre aux utilisateurs de regagner accès à leur compte en cas d’oubli, le service envoie un code à 6 chiffres par SMS ou par mail. Si le pirate souhaite arriver à ses fins, il doit donc connaître le numéro de téléphone ou l’adresse mail de sa victime, puis deviner le code à 6 chiffres envoyés parmi le million et quelques de possibilités.

Un pirate peut contourner les mesures de sécurité d’iCloud

La solution la plus efficace pour le pirate serait alors d’utiliser la méthode bruteforce. Apple a prévu cette éventualité et empêche toute tentative en limitant le nombre d’essais à 5. De plus, le nombre de requêtes à partir de la même adresse IP ne peut pas excéder 6. Au total, un individu malveillant aurait donc besoin de 28 000 adresses IP différentes pour « bruteforcer » le code à 6 chiffres envoyé par iCloud. Enfin, pour renforcer encore plus la sécurité de sa plateforme, Apple bloque toutes les requêtes provenant d’un service de cloud comme Amazon Web Services et Google Cloud.

Mais en réalité, comme l’a découvert Laxman Muthiyah, tous les services cloud ne sont pas bloqués, ce qui ouvre la porte aux tentatives de bruteforce. « Nous devons d’abord contourner le code à 6 chiffres du SMS puis le code à 6 chiffres reçu dans l’adresse e-mail », explique le chercheur. « Les deux contournements sont basés sur la même méthode et le même environnement, nous n’avons donc pas besoin de changer quoi que ce soit lorsque nous essayons le deuxième contournement ». Laxman souligne que même l’authentification à deux facteurs ne peut rien faire contre cette faille, bien qu’il reconnaît que « l’attaque n’est pas facile à mettre en place ».

Sur le même sujet : Windows 10 — iTunes et iCloud peuvent vous infecter avec un ransomware, mettez-les à jour !

Le chercheur a immédiatement prévenu Apple de la vulnérabilité, soit en juillet 2020. Ce n’est qu’en avril de cette année que celle-ci a été corrigée, sans que Laxman ne soit mis au courant. « Une très petite minorité de comptes était à risque, et extrêmement peu d’utilisateurs d’appareils Apple étaient vulnérables », a fini par lui dire la firme de Cupertino, ajoutant que « cette attaque ne fonctionne que contre les comptes Apple ID qui n’ont jamais été utilisés pour se connecter sur un iPhone, iPad ou Mac protégé par un mot de passe ».

Apple a minimisé la gravité de la situation

Une justification qui laisse Laxman Muthiyah de marbre. Selon lui, la faille a été patchée dès octobre 2020, soit quelques mois après son alerte. Apple affirme que la vulnérabilité au niveau de la validation du mot de passe n’a jamais existé, mais le chercheur est certain qu’une mise à jour a été effectuée après son signalement.

« S’ils l’ont corrigé après mon rapport, la vulnérabilité est devenue beaucoup plus grave que ce que je pensais initialement. En déterminant le mot de passe par bruteforce, nous serions en mesure d’identifier le bon code d’accès en différenciant les réponses. Nous pouvons donc non seulement prendre le contrôle de n’importe quel compte iCloud, mais aussi découvrir le code de l’appareil Apple qui lui est associé ».

Qu’Apple ait cherché à cacher la gravité de la faille à ses utilisateurs ou non, reste que celle-ci a disparu. Il est donc difficile de savoir si les dires de Laxman Muthiyah sont véridiques. Ce dernier affirme qu’Apple lui a offert 18 000 dollars en échange de son signalement, somme qu’il a refusé, la jugeant trop basse par rapport à l’ampleur de la vulnérabilité.

Source : SecurityWeek


La rédaction vous conseille aussi...

Réagissez à cet article !

Demandez nos derniers articles !

Windows 11 prend encore plus de place sur votre PC, mais c’est pour une bonne raison

La nouvelle fonction de restauration de Windows 11 est arrivée. Mais selon Microsoft, celle-ci s’accompagne d’une occupation conséquente de l’espace de stockage de votre PC. On fait le point. Si…

Tom Cruise en Iron Man ? Cette rumeur sur Avengers Secret Wars enflamme les fans

Après Robert Downey Jr., Tom Cruise incarnera-t-il le prochain Iron Man ? Certaines rumeurs affirment que l’acteur de Mission : Impossible pourrait bel et bien débarquer dans le MCU, et…

Sony retire des centaines de films achetés sur PlayStation, vous avez payé pour rien

La pilule risque de ne pas passer pour de nombreux amateurs de films. Sony s’apprête en effet à retirer des centaines de films du PlayStation Store. Certains films cultes disparaîtront…

Android 17 : Google rattrape enfin son retard face à l’iPhone avec cette grosse nouveauté

Les utilisateurs de smartphones Android n’auront bientôt plus à rougir face à l’iPhone. Sous Android 17, Google serait en effet en train de tester une fonctionnalité sensiblement similaire à celle…

Google rassure les utilisateurs d’Android 17 avec un nouveau système de vérification

Google renforce toujours plus la sécurité de son dernier système d’exploitation. La firme de Mountain View est en effet en train de déployer un système de vérification permettant d’attester l’authenticité…

Test Fiido M1 Pro : pour rouler différent !

Décidément Fiido n’en finit pas de nous étonner avec des vélos à assistance électrique au rapport qualité / prix impeccable et avec toujours une originalité bien sentie. Le M1 Pro…

Une PS6 a plus de 1 000 € ? Sony pourrait faire exploser le prix de sa prochaine console

La prochaine console de Sony pourrait se vendre à prix d’or. La hausse des prix des composants, associée à la crise de la RAM, pourrait en effet faire grimper le…

Ce badge télépéage est gratuit pendant 12 mois grâce à cette offre exclusive

À l’approche des vacances d’été, l’opérateur Fulli vous permet de passer les péages plus rapidement sur l’autoroute, et de manière gratuite, grâce à une promotion sur son offre Nomade. Le…

Les Soldes d’été 2026 sont enfin là : les meilleures offres sont dans notre sélection et elles sont à saisir dès maintenant

Le top départ des Soldes est lancé et, cette année encore, les prix cassés sont au rendez-vous. Durant ce marathon de bons plans, de nombreuses marques et enseignes bradent les…

GTA 6 prépare ses versions physiques, Android Auto perd une application phare, c’est le récap’ de la semaine

Le très attendu jeu de Rockstar prévoit des boîtes avec disque, un outil de lecture vidéo tire sa révérence dans nos véhicules, la dalle protectrice du Galaxy S26 Ultra donne…