Apple jure que l’iCloud n’a pas de vulnérabilités. La récente fuite de photos de célébrités résulterait d'”attaques bien ciblées sur les noms d’utilisateurs, les mots de passe et les questions de sécurité”. Malgré cela, la société renforcera la sécurité du service. La promesse a été faite par nul autre que Tim Cook.
Dans une interview au Wall Street Journal, le PDG d’Apple a souligné que les attaquants qui accèdent aux comptes de célébrités le font en répondant à la question de sécurité sur le mécanisme de récupération du mot de passe ou en appliquant un système d’hameçonnage. Selon l’exécutif, il n’y a jamais eu de fuites d’identifiants et de mots de passe directement sur les serveurs.
Pour éviter de nouveaux cas, M. Cook a déclaré qu’Apple commencera à envoyer des alertes automatiques par courrier électronique et des notifications par push chaque fois que quelqu’un tentera de modifier le mot de passe d’un compte ou de restaurer les données iCloud sur un nouvel appareil. Des notifications seront également émises lorsque l’appareil accède à un compte de service pour la première fois.
Cette mesure devrait être mise en œuvre dans un délai de deux semaines. Actuellement, les systèmes d’Apple n’envoient des alertes que lorsque quelqu’un tente de modifier un identifiant ou un mot de passe de compte à partir d’un appareil de marque.
Dans l’interview, Cook suggère que la question de la sécurité est davantage liée au comportement des utilisateurs qu’aux aspects technologiques. C’est pourquoi des stratégies de sensibilisation sont également prévues par Apple.
La société a également l’intention de promouvoir l’utilisation de l’authentification en deux étapes. Cette protection existe déjà, mais elle est peu adoptée par les utilisateurs d’iCloud. Pour changer ce scénario, iOS 8, qui sera lancé ce mois-ci, sera doté de fonctionnalités permettant d’activer plus facilement les fonctionnalités à partir de l’appareil mobile.
Ce type de protection est vraiment important. Il n’est pas difficile de trouver des détails sur les célébrités, de sorte que les questions de sécurité de vos comptes peuvent être répondues correctement par des tiers avec une relative facilité. Dans ces circonstances, l’authentification en deux étapes permet d’éviter tout accès indu à vos comptes.
Ces mesures sont donc les bienvenues. Toutefois, de nombreux experts en sécurité estiment que c’est trop peu. Pour un chercheur nommé Ashkan Soltani, Apple a tort parce que néglige certains points de sécurité pour ne pas affecter l’utilisabilité de ses services.
Interrogé sur ce genre de critiques, Tim Cook a répondu qu’Apple est constamment préoccupée par la sécurité, citant en exemple le travail effectué avec le Touch ID, le capteur d’empreintes digitales de l’iPhone 5s.
Qu’en est-il des soupçons selon lesquels les invasions de comptes de célébrités ont été faites par la force brute (méthode séquentielle d’essais et d’erreurs pour découvrir les mots de passe et les logins) ? Si Apple prévoit d’adopter une stratégie pour atténuer ces attaques, c’est en gardant la décision secrète.
