A la suite de l’affaire des photos nues de plusieurs célébrités féminines divulguées sur le web, Guillaume Lovet, expert renommé en cybercriminalité chez Fortinet, nous explique comment a pu se dérouler ce piratage.
Le 31 août 2014, des photos de plusieurs célébrités féminines nues ont été diffusées sur le forum 4Chan par des internautes anonymes. Ces derniers ont déclaré avoir eu accès à ces photos et vidéos via le piratage de comptes iCloud. A ce jour, Apple n’a pas confirmé que iCloud ait été piraté, mais a déclaré qu’une enquête était en cours.
Qui est derrière ce piratage ?
La liste des célébrités ayant été piratées a été diffusée par des internautes anonymes du forum 4Chan ayant pour ID : ffR+At7b and UggsTju5. Leur identité est encore inconnue et nous ne savons pas encore si d’autres internautes sont impliqués.
L’un d’eux pourrait avoir 26 ans et vivre à Lawrenceville, en Georgie. Contacté par les médias, il a reconnu avoir tenté de vendre quelques-unes des photos pour 100$/photo sur Reddit sous le surnom de BluntMastermind, mais nie être à l’origine de la fuite. Cependant, il semble avoir les compétences nécessaires (il est administrateur serveur) et a posté des captures d’écran ressemblant fortement à celles de 4Chan.
Les comptes Twitter (par exemple @Callux) postant des images non censurées des célébrités ont été suspendus, et quelques célébrités ont averti qu’elles allaient les poursuivre.
Comment ont-ils eu accès à ces photos ?
A ce stade, personne ne sait comment les photos ont été récupérées. Il n’y a que des rumeurs et des hypothèses.
En supposant qu'iCloud soit la source, on peut émettre en hypothèse les scénarios suivants :
– Une faille cross-site : des adresses emails et mots de passe ont été récoltés suite à une fuite/faille d’un autre site. Les utilisateurs iCloud utilisent les mêmes identifiants et mots de passe que ce site, ce qui conduit donc à la compromission. C’est l’hypothèse la plus plausible.
– Piratage du cœur de l’infrastructure iCloud : avec un accès direct à des photos en clair, ou une faille dans un autre service Apple comme la récupération de mot de passe. Nous ne sommes pas au courant d’une telle faille.
– Attaques par force brute des comptes iCloud : 2 chercheurs, Andrey Belenko et Alexey Troshichev, ont prouvé que cela était possible et ont publié un outil nommé iBrute. Apple a corrigé la vulnérabilité le 1er septembre 2014. Cette hypothèse n’est cependant pas la plus plausible : en effet, cela implique que les attaquants ont eu accès aux AppleID ciblés (par exemple les adresses email) en premier lieu. Les célébrités, comme n’importe quel autre internaute, n’utilisent probablement pas un mot de passe fort pour protéger leurs comptes, mais ont généralement gardé leurs adresses mails privées, pour ne pas être spammées par leurs fans.
– Le Wifi des Awards Emmy piraté : cette hypothèse impliquerait que des certificats compromis ou failles SSL inconnues aient été exploités par les hackers. C’est le scénario le moins plausible.
Il est également possible qu’il n’y ait pas du tout de brèche iCloud, ou du moins que ce ne soit pas seulement ça en cause. Il semble en effet plus plausible que plusieurs pirates aient collecté les photos sur différents sites, DropBox, Google Drive, iCloud :
– Certaines photos semblent avoir été prises avec un appareil Android ou une webcam. Ces photos n’ont pas raison d’être sur l’iCloud, mis à part si elles ont été spécifiquement déplacées par leur propriétaire.
– PhotoStream d’Apple garde seulement les photos téléchargées sur iCloud pendant 30 jours. Cela ne correspond pas au fait que certaines célébrités ont indiqué qu’il s’agissait de vieilles photos.
– Au-delà des photos, des vidéos ont été divulguées. iCloud ne se synchronise pas avec les vidéos.
Que peut faire Apple pour éviter cela ?
Actuellement, l’authentification à deux facteurs n’existe pas pour les comptes iCloud, tout se fait par l’identifiant Apple. Encore une fois, si l’authentification en 2 étapes avait été disponible sur iCloud, cela aurait empêché au moins une partie de la fuite : les combinaisons ID et mots de passe récoltées de précédentes failles de bases de données n’auraient pas été suffisantes pour se connecter à iCloud et télécharger les photos.
Que pourrait faire l’utilisateur pour éviter d’être piraté ?
D’une manière générale :
1. Utilisez différents mots de passe pour différents comptes et services. Si vous avez le même mot de passe pour plusieurs comptes, changez votre mot de passe Apple tout de suite.
2. Utilisez un mot de passe fort
3. Rappelez-vous que le cloud n’est pas un coffre fort infaillible, et en tant que tel, activez l’authentification à 2 facteurs lorsque cela est possible comme par exemple sur Dropbox.
Concernant iCloud, on peut éviter que les photos soient uploader depuis son appareil Apple vers le cloud en désactivant cette fonction : Paramètres -> iClous -> Photos -> Ma galerie Photo / My Photo Stream