Une faille de sécurité sur le site web d’Apple permet aux utilisateurs malveillants de réinitialiser les mots de passe des comptes iCloud. Le problème concerne tous les utilisateurs qui n’ont pas encore activé le scan en deux étapes, publié cette semaine. Pour modifier le mot de passe d’un utilisateur, il est nécessaire de connaître l’adresse électronique et la date de naissance enregistrées sur le compte ? ces informations se trouvent facilement sur les réseaux sociaux.
Selon The Verge, qui a eu accès à un tutoriel expliquant comment exploiter la faille, la vulnérabilité consiste à utiliser une URL modifiée et à remplir correctement la date de naissance de l’utilisateur comme réponse à la question de sécurité. Le guide étape par étape est accessible au public sur Internet.
Les utilisateurs d’iCloud ayant un compte enregistré aux États-Unis, au Royaume-Uni, en Australie, en Irlande et en Nouvelle-Zélande peuvent permettre une vérification en deux étapes pour accroître la sécurité du compte. Si la fonction est activée et que l’utilisateur tente de modifier les informations relatives à son compte ou d’effectuer un achat à partir d’un nouvel appareil, il devra saisir un mot de passe et un deuxième code, qui lui seront envoyés par SMS ou par l’intermédiaire de Find My iPhone. La vérification en deux étapes n’est inexplicablement pas encore disponible pour les franchisés.
Apple a reconnu l’erreur et a déclaré qu’elle travaillait sur un correctif. Quelques minutes après la publication de la nouvelle, la société a supprimé la page de réinitialisation du mot de passe.
Mise à jour à 20h18.