31 août : le jour du « Celebgate »

Vous rappelez-vous précisément de ce que vous faisiez le 31 août ? Allez, un petit effort : c’était encore l’été, il faisait (probablement) chaud et beau… Non, toujours rien ? En tout cas, pour Jennifer Lawrence, Rihanna, Kim Kardashian et quelques dizaines d’autres stars, ce dimanche noir restera longtemps gravé dans leur mémoire : c’est le jour où ces jeunes et jolies demoiselles ont vu nombre de leurs clichés intimes (comprendre dénudées) répandus tous azimuts sur le Net.

Retour sur l’origine du phénomène désormais nommé « celebgate » : le 31 août donc, quelques clichés privés de personnalités commencent à apparaître sur « 4chan » et « Reddit », 2 sites de partage de liens et d’images où l’anonymat est roi, conduisant rapidement à la mise en ligne de photos d’une centaine de célébrités. Certaines victimes réfutant catégoriquement l’authenticité des images, d’autres en reconnaissant la validité et une poignée s’étonnant de voir ressurgir des clichés supprimés pourtant il y a plusieurs années. Étrange…
Les réseaux sociaux ne mettent pas longtemps à s’enflammer : sur Twitter, via lequel les photos étaient visibles par tout le monde, le mot-clé « #leak » (fuite) s’est vite retrouvé en « trending topic » (les sujets tendances). « Jennifer Lawrence » devient dès le 1er septembre la recherche la plus populaire sur Google.

Si les victimes ont obtenu de Twitter le retrait systématique des images partagées sans trop de difficultés, il n’en reste pas moins qu’elles demeurent disponibles pour celui qui cherche un peu. Eh oui, les informations sur Internet, c’est un peu comme un diamant, c’est (presque) éternel.

« Oups, I did it again »

Et voilà comment tout a débuté. On pouvait penser alors que cet « incident » serait unique. Mais non, bien au contraire ! Durant tout le mois de septembre, il ne se passera pas une seule semaine sans que n’éclate une nouvelle diffusion de photos volées. Et toujours suivant le même schéma : sites « 4chan » / « Reddit » -> partage sur les réseaux sociaux -> suppression mais trop tard, le mal est fait ! Des vagues successives qui verront le cercle des victimes s’élargir progressivement : stars US du cinéma, de la chanson, de la télé-réalité, sportives, animatrices. Ces diffusions se sont poursuivies en octobre, certes plus sporadiquement, mais avec quelques nouveautés : des actrices françaises comme Mélanie Laurent, et désormais des hommes (le fils du catcheur Hulk Hogan). Le terme « fappening » apparaît alors pour décrire ce phénomène qui semble sans fin.
Mais alors : qui, comment, pourquoi ?
Même plusieurs semaines après la divulgation de cette affaire, aucun mobile n’a été clairement trouvé, pas plus que l’identification des voleurs et encore moins la méthode employée. Mais détaillons tous ces éléments uns-à-uns pour y voir plus clair :

–  Qui ?
Alors que les photos se répandent sur Internet comme une traînée de poudre et que l’affaire prend progressivement des proportions démesurées, le FBI s’empare du dossier, mettant un point d’honneur à remonter la trace du ou des hackers. Le « Bureau » ne plaisante pas du tout avec ce genre d’acte « criminel ». Souvenez-vous du dernier grand scandale sexuel similaire, un selfie nu de Scarlett Johanson diffusé il y a 2 ans : l’auteur une fois retrouvé et jugé avait tout simplement écopé d’une peine de 10 ans pour avoir piraté le compte mail de la star !
Les soupçons se sont tout d’abord portés sur un utilisateur d’un des sites de partage en cause, du nom de Brian Hamade, dit « BluntMastermind ». Quelques jours avant la diffusion massive des photos, quelques clichés étaient déjà apparus sur d’autres forums comme « Annon-IB », spécialisé dans le partage de photos (et encore plus spécialisé dans la diffusion de selfies dénudés volés). M. Hamade avait alors tenté de monnayer au prix fort la vente de ces images « olé-olé », se vantant d’en détenir un stock bien plus large : 100$ l’image, paiement par Paypal ou en Bitcoin s’il vous plait ! Seulement voilà, en oubliant stupidement de masquer le nom de son PC, il fut très vite identifié et retrouvé. Depuis, il nie en bloc être à l’origine de la fuite, se présentant plutôt comme un petit receleur ayant voulu se faire stupidement de l’argent.

Mi-octobre, le FBI sort enfin un homme de l’ombre : Sergei Kholodovskii, un russe de 28 ans. Mais lui aussi se défend d’être le voleur d’images, juste le responsable de la mise en ligne. L’homme qui est chargé du maintien d’un des sites d’hébergement des photos va même jusqu’à déclarer « ne pas voir où est le problème avec tout ça » et « être prêt à poster de nouvelles photos si jamais il y en avait d’autres ». La traque continue…

- Comment ?

De quelle façon ces photos ont-elles pu être dérobées ? Les experts se sont vite tournés vers un piratage des comptes iCloud des victimes. Plus exactement, sur le service de synchronisation de fichiers sur iCloud, option activée par défaut sur les téléphones et autres tablettes. Une thèse relayée par un message qui accompagnait chacune de ces photos et par le fait que presque toutes les victimes avaient en commun d’être utilisateurs de la marque à la Pomme.

Mais s’agissait-il d’un piratage général d’iCloud ? Difficile à y croire et au fil des jours, 2 hypothèses se dégagent sur la technique employée :

1. « Social engineering »
Comme l’a démontré une journaliste du site Mashable, il est on ne peut plus simple de trouver les identifiants d’un compte Apple. Il suffit pour cela de 3 éléments :
_ ? un identifiant valable, Niveau débutant | 5 min
Méthode : tenter de créer un nouveau compte. S’il existe déjà la requête sera refusée et on peut donc ainsi avoir la certitude qu’il est valide. Simple comme bonjour !
_ ? la réponse aux questions de sécurité (solution de secours proposée par Apple en cas d’oubli de mot de passe), Niveau intermédiaire | quelques heures
Méthode : « l’ingénierie sociale ». Grâce à toutes les informations que les internautes postent sans forcément s’en préoccuper sur les réseaux sociaux, il devient possible de retrouver des réponses aux questions de sécurité (date/lieu de naissance, lieux de vacances, prénoms de proche). Et c’est d’autant plus vrai dans le cas de célébrités, exposant leur vie au grand public par le biais de portraits, d’interviews…
_ ? un logiciel permettant de récupérer des sauvegardes iCloud, Niveau débutant | quelques minutes
Méthode : disponible facilement sur le Net pour la modique somme de 200$, un logiciel spécialisé permet de récupérer le contenu intégral ou partiel du téléphone, de la tablette ou de l’ordinateur d’un utilisateur Apple.

2. Cassage de mot de passe par « Brut force »

Cette technique, des plus basiques, consiste à tester une à une toutes les combinaisons de mot de passe jusqu’à trouver la bonne. D’ordinaire, tous les systèmes professionnels et fiables bloquent un compte au bout de quelques tentatives infructueuses, une sécurité on ne peut plus basique. Apple applique forcément cette protection voyons !

Et bien aussi incroyable que cela puisse paraître, ce n’est pas si sûr : en mars 2014, une faille avait été détectée par un expert sécurité sur la fonction « localiser mon iPhone », outil ceci dit bien utile pour verrouiller, effacer son portable, sa tablette à distance en cas de perte ou de vol. Cet expert aurait réussi à tester quelques 20000 combinaisons de mot de passe sur n’importe quel compte iCloud sans aucun blocage. Il aurait alerté Apple dès sa découverte mais sans que la marque à la Pomme n’y prête manifestement attention…jusqu’à ce qu’un correctif discret soit appliqué justement au lendemain de la fuite des photos volées, limitant tout simplement à 5 le nombre de tentatives de connexion à un compte. Cette hypothèse est appuyée par un outil dédié à exploiter cette faille retrouvé sur le site « GitHub » à la veille du vol.

Une dernière théorie intéressante, mais peu relayée, met en avant l’idée que le hack n’aurait peut-être pas été directement effectué depuis les comptes des célébrités mais auprès d’un collectionneur de photos qui aurait vu son compte piraté. Pour causes : certaines stars auraient réalisé des selfies depuis un appareil autre qu’Apple, les photos ne proviendraient de plus pas seulement d’iCloud mais aussi de DropBox et certains clichés étaient déjà disponibles sur le marché noir. Qui plus est, quelques célébrités s’étaient aussi étonnées de retrouver des clichés datant d’il y a quelques années et supprimés depuis. Soit Apple conserverait les données utilisateurs sur son cloud malgré les demandes de suppression (non, pas possible !), soit la source est tout autre…

Pour la petite histoire, Facebook avait reconnu il y a quelques années la conservation sur leurs serveurs pendant plusieurs mois de photos supprimées, et avait fait un effort pour réduire ce délai à 30 jours !

Comme on peut le constater, difficile encore aujourd’hui de confirmer la méthode de piratage employée. Difficile aussi de dire si les fuites répétées depuis sont le résultat de nouvelles attaques, Apple ayant renforcé entre temps son mécanisme d’authentification, ou si c’est un même lot original qui est dévoilé progressivement…

- Pourquoi ?

Toutes les pistes sont envisagées mais on pense évidemment en 1er lieu à des motivations financières, les célébrités étant particulièrement vulnérables, tout comme les politiciens, les chefs d’entreprises… Pourtant, il n’y aurait apparemment pas eu de gain résultant de la diffusion des photos.
Autre motivation plausible : porter directement atteinte à l’image publique d’Apple. Cette affaire tombait très mal dans le calendrier de la société, à quelques jours de leur grand-messe annuelle et de la présentation à la fois du nouvel iPhone6, d’une montre connectée, du paiement sans contact et de nouvelles fonctions toujours plus centrées sur l’iCloud comme « HealthKit » et « HomeKit » (outils de développement d’applications liées respectivement à la santé et aux objets connectés domestiques, 2 sujets très tendances). Autant de services où la sécurité des données personnelles est donc un enjeu de taille.
D’autres motifs variés furent aussi évoquées : la haine des célébrités, le fait de vouloir humilier les femmes ou de démontrer ses prouesses techniques. Impossible encore aujourd’hui d’en connaître la raison exacte, même si la finalité mercantile est forcément une piste très plausible.

Conclusion

Vous avez pu le constater, même plusieurs mois après que ce mini scandale ait éclaté, des zones d’ombre persistent sur cette affaire finalement plus complexe qu’il n’y parait. Mis à part les victimes touchées dans leur amour propre, quelles furent les autres conséquences et impacts de cet évènement, notamment pour Apple ?

La suite au prochain épisode : même lieu, même heure, même blog !