Cinquième-pouvoir.fr

Piratages : Apple réagit enfin

piratage, cybersecurite, cyberdefense, cyberattaque, hacking, apple, failles sécurité

Celà fait trois ans que de nombreux utilisateurs d’iTunes voient leur compte piraté, des fonds détournés de leurs comptes en banque et leurs bons cadeaux sur l’App Store dépensés. Régulièrement depuis 2010, des utilisateurs se sont plaints (notamment sur les forums) d’achats effectués sur l’iTunes Store sans leur consentement à partir de leur propre compte. Trois ans plus tard Apple a décidé de renforcer la sécurité de l’accès au compte iTunes.

Trois ans de piratages

Une première vague de piratage a été notée en 2010 aux Etats-Unis sur des détenteurs de comptes iTunes Store. Plusieurs analystes ont émis l’hypothèse que les pirates utilisaient de fausses applications qu’ils avaient eux-mêmes développé et rendu disponible sur l’App Store. D’autres ont affirmé que les pirates avaient cracké l’algorithme permettant d’utiliser les bons d’achats (gift cards) sur l’App Store.

Plusieurs médias ont déploré le manque de réaction de la part d’Apple qui refusait de reconnaitre le problème.

En 2012, le groupe AntiSec revendique le piratage de 12 millions de comptes Apple à partir de données récupérées sur l’ordinateur d’un agent du FBI permis grâce à une faille de Java.

La même année des pirates se sont introduits dans le compte Apple d’un journaliste américain, Mat Honan, et ont pu effacer toutes les données sur son Cloud, son iPhone, son MacBook, son compte Google et Twitter. Comme le journaliste l’explique dans un article sur wired.com, les hackers ont pu réinitialiser son mot de passe en donnant au service client d’Apple les 4 derniers chiffres de sa carte de crédit (récupérés sur Amazon).

En février 2013, les employés d’Apple sont piratés à leur tour, l’entreprise affirme qu’il s’agissait de failles liées à Java.

Renforcement des mesures de sécurité sur iTunes et l’Apple Store

Le 21 mars 2013 Apple a mis en place l’authentification en deux étapes dans les pays anglo-saxons. Lorsque l’utilisateur se connecte à partir d’un ordinateur différent, un mot de passe est envoyé sur son mobile pour vérifier son identité. Une nouvelle vulnérabilité du système a été mise en lumière par le site iMore suite à cette nouvelle politique d’identification. Il était possible de forcer l’entrée dans un compte en utilisant seulement l’identifiant Apple et la date de naissance de l’utilisateur. Une faille qui aurait été corrigée.

Pour en savoir plus :

–          Le récit du piratage de Mat Honan

Patrice Tallineau

Photo by Amir Taj CC on Fotofolia

 

Quitter la version mobile