Dimanche dernier (31) a été marqué par la fuite de photos intimes de plusieurs célébrités, comme l’actrice Jennifer Lawrence, qui a menacé de poursuivre en justice les personnes qui diffusaient ces images, et l’actrice Mary Elizabeth Winstead, qui a confirmé la véracité des photos. La plus grande suspicion est que la cause de l’accès non autorisé aux photos serait une vulnérabilité dans l’iCloud.
Des utilisateurs anonymes de 4chan, un forum où de nombreuses images ont été diffusées pour la première fois, affirment avoir obtenu les photos grâce aux comptes de célébrités sur iCloud. Il est intéressant de noter qu’un script Python publié quelques jours plus tôt sur GitHub permettait d’exploiter une faille dans iCloud, plus précisément dans une API Search my iPhone, qui n’aurait pas de protection contre la force brute.
Sans protection contre la force brute, un pirate informatique peut développer un script qui tente à plusieurs reprises de s’authentifier avec de nombreuses combinaisons de login et de mot de passe. Ce n’est pas un moyen très efficace pour accéder à un compte car cela peut prendre beaucoup de temps, mais il peut être parfaitement utilisé si le mot de passe de la victime n’est pas complexe ? et c’était peut-être le cas avec les célébrités.
Le chercheur en sécurité Vinícius ?K-Max ? a testé le scénario et a confirmé qu’il fonctionnait comme prévu. Cela ne confirme pas que la faille a été utilisée pour faire fuir les photos intimes, mais cela montre qu’elle a réellement existé. The Next Web a répété la procédure et a déclaré qu’elle était bloquée après cinq tentatives, indiquant qu’Apple avait déjà travaillé sur un correctif.
Le créateur du script, “HackApp”, a déclaré sur Twitter qu’Apple a commencé à corriger la vulnérabilité. Il y a deux heures, un utilisateur de Reddit avait affirmé qu’il était encore possible d’exploiter la faille en France, laissant entendre que le correctif était appliqué progressivement par Apple.
Apple ne commente pas la question.
