Les dangers du « Cloud » ? Au cours du week-end, des photos « très personnelles » (!) de plusieurs personnalités américaines du cinéma, de la musique, de la TV ont été mises en ligne.

Jean-Pierre Hourdeau

News

le 02/09/2014 à 23h00

Tweeter

Les personnalités concernées auraient en commun d’être des utilisateurs des produits Apple et notamment de son service d’hébergement de fichiers, iCloud (le partage des photos est activé par défaut). Ces contenus, dérobés, ont été publiés anonymement par un hacker sur 4Chan, un forum très populaire.

La technique utilisée par le pirate pour accéder à ces informations reste encore assez obscure.

Des comptes iCloud mal protégés ?

Cette fuite a donné lieu à beaucoup de commentaire sur les réseaux sociaux, et en particulier Twitter et Facebook. Quant à la source de cette divulgation de données personnelles, il pourrait bien s’agir du service en ligne d’Apple, iCloud, sur lequel les vedettes auraient hébergé leurs photos. Certaines de ces images auraient pourtant été supprimées.

Il reste à présent à déterminer la méthode exacte utilisée par l’auteur de la fuite pour accéder à ces contenus personnels.

S’agit-il d’une intrusion sur les serveurs d’Apple ? Ou le hacker a-t-il directement ciblé les comptes de ses victimes où il se serait alors introduit pour dérober les images ?

Apple n’a de son côté pas encore réagi officiellement.

Il devra sans doute s’expliquer notamment sur la durée de conservation des images après leur suppression.

Tout ceci serait le fruit d’un hacker isolé, qui a même réclamé de l’argent avec des versements en Bitcoin ou,… plus étonnant, sur PayPal. Pour le moment, on ne sait s’il a réussi à trouver une faille générale dans le système ou s’il a simplement visé les célébrités une par une.

Dans tous les cas, rappelons qu’il est nécessaire de bien protéger son accès en utilisant un mot de passe complexe, contenant surtout des majuscules et des symboles.

Bien évidemment, il convient de ne pas utiliser des mots de passe trop évidents comme les dates de naissance, les prénoms des enfants...

Cependant de forts soupçons pesent  sur une fonctionnalité propre aux iPhone et iPad d’Apple permettant à l’utilisateur de géo localiser son terminal : « localiser mon iPhone ».

Une fonction très utile lorsque l’appareil a été égaré. Mais celle-ci pourrait aussi être responsable du vol des photos intervenu ces derniers jours.

Ainsi qu’un jour avant que les photos ne soient publiées sur Internet, un exploit (1) a été publié sur GitHub  (un service web d'hébergement et de gestion de développement de logiciels).

Ce code permet de réaliser une attaque « bruteforce »(2)  en exploitant une vulnérabilité dans la fonction « Localiser mon iPhone » :

L’attaquant peut multiplier, et donc automatiser, les tentatives contre un compte Apple jusqu’à ainsi entrer le bon mot de passe et accéder aux données liées (l'adresse mail associée au compte est également nécessaire).

Apple a depuis corrigé la faille logicielle d’iOS et bloqué ce scénario d’attaque en « bruteforce » n'entraînant pas le verrouillage du compte au-delà du nombre de tentatives d’authentification autorisées.

La firme n’a toutefois toujours pas réagi, ni donc confirmé le lien entre la vulnérabilité et la fuite sur Internet.

L’intérêt et les dangers du Cloud :

Quoi de plus pratique que d’accéder partout dans le monde à ses documents depuis n’importe quel périphérique relié à internet ?

Cependant Jean-Marc Van Gyseghem, chercheur au Centre de Recherches Information, Droit et Société (CRIDS) et directeur de l’Unité Libertés et société de l’information à l’Université de Namur attire dans le journal en ligne du Quotidien belge « LE SOIR » notre attention sur les risques du Cloud et les précautions à prendre :

«Le Cloud répond à un besoin grandissant de mobilité de la part des utilisateurs. Avoir un accès illimité à des fichiers partout, tout le temps et depuis n’importe quelle machine reliée à internet. La tendance du marché est d’ailleurs de proposer des ordinateurs qui sont davantage des terminaux utilisant des fichiers et des programmes stockés quelque part dans le cloud, autrement dit dans des serveurs quelque part dans le monde. »

L’utilisateur est-il suffisamment informé sur les services qu’il emploie ?

« Le premier problème qui se pose est celui des conditions d’utilisation. Elles sont souvent très longues, rédigées dans un langage complexe et présentées sous une forme peu accessible. L’utilisateur préfère donc les accepter sans les lire. (…) L’autre gros problème réside dans la gestion des paramètres où, une nouvelle fois, le fournisseur de service est roi. L’utilisateur n’a que peu de paramètres configurables. Il est donc à sa merci. »

À quoi l’utilisateur doit-il prêter attention ?

« L’utilisateur doit être conscient que le stockage se fait sur internet. Autrement dit, les données sont éparpillées là où il y a de la place. Elles sont toujours en mouvement et voyagent dans des serveurs situés aux quatre coins de la planète où les législations diffèrent de la nôtre ». (…)

« Tout ce qui est à l’attention du grand public est donc peu sécurisé »

 « Les services dits gratuits ne le sont que financièrement. Vous ne payez pas l’utilisation du service mais vous fournissez des données.

Le cloud n’est qu’un business plan.

Prenons l’exemple de Google : Vous ne payez pas mais ce que vous postez, permet à la firme d’affiner votre profil et donc de fournir à des entreprises de meilleures informations vous concernant pour qu’elles vous ciblent d’avantage. Il ne s’agit pas de vols manifestes de fichiers mais plutôt de petites informations qui, misent bout à bout, sont signifiantes. »

Les services payants sont-ils plus sûrs ?

« Le prix fixe surtout le volume de stockage disponible. Le niveau de sécurité est plutôt fixé par le poids de l’utilisateur.

La sécurité est ce qui coûte le plus cher dans la conception d’un service informatique.

Mais si l’utilisateur est une grande entreprise, elle peut se permettre d’imposer ses conditions et d’avoir un service à sa mesure, répondant à ses besoins. Exemple récent, la ville de Los Angeles vient de se voir dotée d’un cloud personnel.

 A contrario, tout ce qui est à l’attention du grand public est donc peu sécurisé. Cela dit, certains cloud payant garantissent l’utilisation de serveurs européens, ce qui limite le droit de regard. »

LE conseil ultime :

«  Simplement ne pas poster ce à quoi vous tenez, ce qui est confidentiel. Un collègue utilise une belle formulation pour désigner le cloud :

« Est-ce que vous oseriez déposer votre mallette personnelle au milieu d’une gare pendant plusieurs heures ?»

 

Tout est dit !...

(1)          Un exploit(prononcer : explo-ï-t) est, dans le domaine de la sécurité informatique, un élément de programme permettant à un individu ou un logiciel malveillant d'exploiter une faille de sécurité informatique dans un système d'exploitation ou dans un logiciel , à distance (remote exploit), ou sur la machine sur laquelle cet exploit est exécuté (local exploit),afin de prendre le contrôle d'un ordinateur ou d'un réseau, de permettre une augmentation de privilège d'un logiciel ou d'un utilisateur, ou d'effectuer une attaque par déni de service.

 

(2)          L'attaque par force bruteest une méthode utilisée en cryptanalyse pour trouver un mot de passe ou une clé. Il s'agit de tester, une à une, toutes les combinaisons possibles.

Cette méthode est en général considérée comme la plus simple concevable.

Elle permet de casser tout mot de passe en un temps fini indépendamment de la protection utilisée, mais le temps augmente avec la longueur du mot de passe. En théorie la complexité d'une attaque par force brute est une fonction exponentielle de la longueur du mot de passe, la rendant virtuellement impossible pour des mots de passe de longueur moyenne, mais en pratique des optimisations heuristiques peuvent donner des résultats dans des délais beaucoup plus courts.