Journal d'investigation en ligne et d'information‑hacking
par bluetouff

Apple et les petits dessous des princesses d'Hollywood

S'il y a bien quelque chose qui fait les gros titres de la presse aujourd'hui, c'est la divulgation sur 4chan, la nuit dernière de photos et de vidéos d'une centaine de stars d'Hollywood. L'affaire aurait presque été banale. Ce n'est pas la première fois qu'un bout de nichon leak sur Internet après tout. C'est le genre d'anecdote qui en France avait par exemple conduit à la fermeture d'Altern.org ("c'est vraiment trop injuste »).

S'il y a bien quelque chose qui fait les gros titres de la presse aujourd'hui, c'est la divulgation sur 4chan, la nuit dernière de photos et de vidéos d'une centaine de stars d'Hollywood. L'affaire aurait presque été banale. Ce n'est pas la première fois qu'un bout de nichon leak sur Internet après tout. C'est le genre d'anecdote qui en France avait par exemple conduit à la fermeture d'Altern.org ("c'est vraiment trop injuste »).  Mais d'anecdotes en anecdotes, la centralisation et la concentration d'une importante masses de données personnelles chez une poignée d'acteurs, le nombre croissant d'utilisateurs de ces services en ligne, la pluralité et la complexification des protocoles, des objets connectés, le tout conjugué à une politique complètement débile de rétention des données de la part de ces gros acteurs du Net, mène à des fuites toujours plus "spectaculaires".

Nous n'allons pas ici prendre la défense du pirate qui aurait mené une attaque en règle en utilisant entre autres une attaque par force brute sur le service de localisation des iPhones pour accéder aux espaces de stockage iCloud des victimes, il savait manifestement très bien ce qu'il faisait et dans quel but (les données récoltées doivent déjà être mises en vente sur certains black markets)... mais oui ce genre de fuite est inéluctable, et c'est évidemment appelé à se reproduire, encore et encore.

Authentification défaillante, données stockées (presque) en clair dans le cloud (souverain ou pas, car ce n'est certainement pas la souveraineté qui prémunit des implémentations hasardeuses d'outils de chiffrement) et politique de rétention absurde sont les trois nouvelles mamelles des leaks de données personnelles. Le fait qu'il s'agisse ici de photos de stars dans leur intimité prête à sourire pour beaucoup et les responsabilités des uns et des autres sont discutées dans les fils de commentaires de tous les articles de presse traitant du sujet. Certains blâment les victimes, d'autres le pirate, et d'autres (un plus petit nombre), se penchent sur la responsabilité d'Apple qui aurait réintroduit une vulnérabilité déjà exploitée dans le passé pour rendre possible cette fuite... là, c'est quand même déjà plus embarrassant.

Authentification défaillante ?

Il semblerait que le script à l'origine de l'intrusion soit un bête script de brute force en langage python. Qui dit force brute dit pas de limite sur le nombre d'authentifications ratées conduisant à un blocage du compte et à une procédure de vérification pour le déblocage. On parle tout de même d'iCloud, l'aspirateur à données personnelles d'Apple émanant des iPhones. A la décharge d'Apple, une authentification multifactorielle est naturellement un frein à "l'expérience utilisateur", comprenez que la sécurité, ce n'est pas magique, et que si c'est magique, c'est forcément défaillant quelque part.

Des données personnelles presque chiffrées

iCloud a déjà fait l'objet de proof of concept visant à démontrer ses faiblesses, c'est par exemple ce que démontre ce document PDF intitulé iCloud Keychain and iOS 7 Data Protection (3Mo) qui nous explique qu'Apple, qui jure dans toutes ses CGU ne pas être en mesure de lire vos données dans iCloud, stocke quand même votre secret de déchiffrement... un concept assez particulier de la notion d'indéchiffrable. Un peu comme si vous juriez qu'il vous est impossible d'ouvrir une porte dont vous avez la clé dans la poche.

Rétention de données ?

Tout le monde sait aujourd'hui que de chez les gros acteurs d'Internet, comme Facebook pour ne pas le citer, il vous est impossible de supprimer des données. Vous pouvez mettre votre compte en sommeil, mais vos données restent bien dans le cloud de Facebook, et si vous y revenez, vous aurez la joie, ou la stupéfaction, c'est selon, de retrouver les données que vous étiez convaincus d'avoir supprimé de Facebook en fermant votre compte. Et ce dernier point, il a de quoi faire peur, à l'heure où il faut entrer un email dans son téléphone pour accéder à des services qui activeront une synchronisation de données "dans le cloud", à laquelle une immense majorité d'utilisateurs ne prête pas même attention. Et quand on pense avoir supprimé des données de son téléphone, ce n'est parce pas que ce dernier est "synchronisé" avec l'ami "cloud" que ces données effacées d'un téléphone seront effacées du cloud... et ce n'est même pas parce qu'on les supprime de son espace de stockage que le cloud n'en conservera pas trace.

A quand une fonctionnalité OBLIGATOIRE de suppression de données sur les espaces de stockage distants de ces services dont nous sommes les premiers produits ?

C'est très bien que la presse française relaie cette affaire, même si c'est triste qu'elle le fasse car elle concerne les données personnelles d'une centaine de célébrités, ceci à le mérite de permettre à des gens de s'identifier indirectement à ces stars et de comprendre que nul n'est à l'abri de ce genre de fuites. Mais ne perdons pas de vue qu'en France, un pauvre bout de téton pixélisé d'Estelle Halyday aura suffit en 1999 à faire fermer Altern qui était à l'époque le plus gros hébergeur associatif français... et ces photos, qui ont fait fermer des milliers de sites de la toile francophone, on les retrouve toutes sur Google images.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée