Cloud par-ci, cloud par-là, et paf! Problème de sécurité et vol de données qui en découle. Récemment, le « nuage » pommé, iCloud, faisait parler de lui via un vol de selfies de stars dénudées. Hormis les conseils habituels relatifs aux mesures de sécurité à prendre, certains, comme Christina Warren de Mashable, se sont amusés au « piratage » didactique d’iCloud. Et ça fonctionne encore, malgré le discours rassurant d’Apple…
Avec un peu de documentation et 200$, ça le fait
La journaliste de Masahble décrit le plus simplement du monde comment elle est parvenue à ses fins. Après s’être documentée, elle a décidé d’investir dans une version Windows d’un logiciel, facturé 200$, Elcomsoft Phone Password Braker, qui permet de « casser » les mots de passe iCloud (entre autres…).
Pour la suite de la démarche, pour que le logiciel puisse être utilisé, il faut disposer de l’identifiant et le mot de passe iCloud. Pour trouver un identifiant valable, le moyen le plus simple étant de tenter de créer un nouveau compte. Si l’opération est refusée, cela signifie que le compte existe déjà, ce qui nous donne déjà l’identifiant valide! Pour récupérer le mot de passe, Christina est ensuite passée par l’ingénierie sociale, soit tout ce que les utilisateurs du web laissent trainer comme informations les concernant sur les réseaux sociaux, ce qui permet relativement aisément de trouver des réponses aux questions de sécurité (date de naissance, etc..). Ce qui lui a permis de faire générer un nouveau mot de passe iCloud.
Finalement, dotée de l’identifiant et du nouveau mot de passe, il suffit de lancer le logiciel acquis, qui permet de contourner la double authentification de Apple, et ainsi de récupérer dans les sauvegardes stockées dans le nuage pommé absolument tout ce que l’on souhaite, allant de la sauvegarde complète d’un iPhone/iPad à des fichiers particuliers, comme les photos ou vidéos.
Cette démarche, pas forcément compliquée, peut encore être simplifiée avec une version plus puissante du logiciel utilisé, facturée 400$, qui permet carrément de s’en servir en local et de récupérer le « jeton » de transaction utilisé dans le dialogue entre la machine et iCloud. Un jeton qui pourra être utilisé par interception, sans même avoir à connaître le mot de passe ou l’identifiant pour récupérer les données!
Une jolie démonstration, réalisée après le discours rassurant de Apple, qui prouve très simplement que la firme a encore du travail à faire pour sécuriser son service, malgré son discours rassurant.
Source
Vous avez aimé cet article ? Il vous a donné des idées que vous voulez partager? Exprimez-vous sur le Forum. Il est tout à vous!
Jeu de briques
Snake
Pacman
Bubble