Comment vous protéger des fuites du cloud ?

3 Sep 2014

La dernière semaine de cette saison estivale a été marquée par l’actualité Internet du moment : des pirates anonymes (on pense qu’il pourrait s’agir d’un seul homme) ont obtenu on ne sait comment des photos explicites de plusieurs célébrités, y compris des vedettes hollywoodiennes comme Jennifer Lawrence, et  les ont publié sur Internet. Evidemment, ce n’est pas une première mais cela n’avait jamais pris une telle ampleur. Depuis le début, on suppose que certaines des photos ont été obtenues en piratant directement les comptes iCloud d’Apple de ces célébrités. Et oui, c’est possible. Mais que faire pour éviter cela ?

iCloud-hijacked-accounts

Possible scénario de fuite

Pour l’instant aucune piste ne semble s’imposer comme une évidence. Apple et le FBI mènent l’enquête et on attend les résultats avec impatience. Mais certains faits suggèrent que l’accès au compte des victimes a été possible grâce à la combinaison d’un ensemble de facteurs. Tout d’abord, une petite faille dans l’exécution de la plateforme qui permet aux pirates de tester autant de mots de passe qu’ils le souhaitent. Normalement, n’importe quel service Internet verrouille le compte quand quelqu’un se trompe de mot de passe plus de 3 ou 5 fois. C’était le cas pour les interfaces normales d’iCloud, mais pas pour celle de l’application  » Localiser mon Iphone « . Ce défaut a permis aux hackers présumés de  » forcer l’accès « , en essayant par exemple de nombreux mots de passe bateau jusqu’à abandonner ou obtenir l’accès au compte. Pour  » forcer l’accès  » aux comptes iCloud, les pirates ont probablement utilisé une application open source, disponible sur le site du célèbre programmeur GitHub quelques jours avant que l’affaire ne fasse la une des journaux.

bruteforce

Ensuite, et plus important encore, une grande partie de ces vedettes ignorait sûrement les politiques de protection des mots de passe et avaient opté pour des mots de passe simples. Il est probable que les pirates aient seulement essayé les 500 mots de passe les plus communs dans le but de  » forcer l’accès  » et soient arrivés à des résultats impressionnants.

Troisième point, est c’est le plus important de tous, Apple offre une protection contre ce type d’attaques : l’authentification à deux facteurs. Inutile de mentionner que cet outil, très efficace, a injustement été négligé par  les victimes.

Selon certaines sources, la faille a été immédiatement réparée et, dès lundi, il était devenu impossible de  » forcer l’accès  » à iCloud. Au moins, la magouille mentionnée précédemment n’est plus exploitable. Cependant, rien ne garantit qu’il n’existe pas d’autres vulnérabilités.

D’ailleurs, ce n’est pas la première fois que des criminels s’attaquent aux utilisateurs d’Apple à travers iCloud et l’application  » Localiser mon iPhone « . Cet été, certains pays ont été submergés par des vagues de cyber extorsions au cours desquelles les iPhones/iPads des victimes se sont soudainement bloqués après l’activation de l’option antivol de l’application  » Localiser mon iPhone « . L’écran de l’appareil affichait un message demandant une rançon à l’utilisateur pour reprendre le contrôle de l’appareil.

Protégez-vous mais pensez aussi à vos données

Cet incident est censé démontrer que de nos jours, la vie privée est extrêmement exposée, et cela vaut aussi bien pour les célébrités que pour les anonymes. Bien que, le service de stockage de fichiers iCloud soit très apprécié parmi les internautes, le côté indiscutablement pratique de ce service est contrebalancé par les importants risques qui en découlent.

Par exemple, de nombreux utilisateurs avaient enregistré des images de leurs passeports ou d’autres documents sensibles (ou photos sensibles) dans le cloud, tout en sachant que parfois, les vulnérabilités du service compromettent la sécurité des données personnelles. La sécurité du cloud est bien souvent négligée. L’appareil lui-même peut aussi être source de faiblesse s’il est compromis par un virus espion qui peut envoyer des fichiers et des identifiants directement du cloud aux cybercriminels.

Pour éviter les éventuels problèmes de fuite de données confidentielles au travers des ordinateurs, appareils mobiles ou services de cloud, Christian Funk, expert en sécurité chez Kaspersky Lab recommande de prendre les précautions suivantes :

    1. Choisissez un mot de passé complexe, et unique à chaque compte
    2. Utilisez un antivirus pour protéger vos appareils, car chacun d’entre eux est une porte d’accès à votre cloud.
    3. Utilisez un système d’authentification à deux facteurs dès que possible.
  1. Choisissez les informations que vous stockez sur votre cloud. Les données les plus sensibles, qu’elles soient d’ordre personnel ou professionnel, ne devraient pas dépendre du cloud.
  2. Il est facile de perdre ou de se faire voler un appareil mobile, donc assurez-vous qu’aucune donnée sensible ne soit enregistrée dans l’appareil. Si vous ne pouvez pas faire autrement, faites en sorte de chiffrer vos données.
  3. Si vous êtes sur le point de stocker des données strictement confidentielles (y compris photos et vidéos) vérifiez bien que votre appareil ne télécharge pas automatiquement les données sur le cloud.
  4. Avant de partager vos données personnelles ou d’autoriser quelqu’un à prendre une photo de vus, assurez-vous que  l’appareil est assez sécurisé pour que vous données ne soient pas dévoilées.