Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Louis-Alexis Brenac, consultant cybersécurité chez Lexsi : Sexe, sécurité & Cloud (2/3) : Le jour du Celebgate

décembre 2014 par Louis-Alexis Brenac, consultant cybersécurité chez Lexsi

Début septembre, le scandale du « Celebgate » exposait aux yeux de tous des centaines de photos volées de stars (surtout féminines !). Quels furent les impacts pour les victimes et les conséquences directes pour Apple, principalement mis en cause ? Cette affaire aura-t-elle au moins fait évoluer les consciences ou renforcer à minima la sécurité des systèmes d’Apple ?

La réaction d’Apple : c’est pas moi, c’est l’autre !

Un vent de panique a dû souffler chez Apple lorsque l’iCloud fut très rapidement mis en cause dans cette fuite de photos. Se refusant tout d’abord à commenter les faits, la machine communication s’est vite mise en branle pour désamorcer cette potentielle bombe médiatique et éviter un mini scandale à quelques jours de la Keynote du 9 septembre. Tim Cook prit alors les devants en réfutant toute faille globale dans le système d’Apple, avec à l’appui plus de 40h d’enquête aboutissant à la conclusion suivante : « des attaques très ciblées sur les noms d’utilisateur, les mots de passe et les questions de sécurité. » La brèche évoquée sur la fonction « Localiser mon iPhone » est par ailleurs complètement écartée. En résumé, pour Apple, la sécurité de l’iCloud n’est aucunement mise en cause. Les victimes auraient été la cible d’une cyberattaque par des techniques de phishing et/ou d’ingénierie sociale.

Tim Cook avait dû alors même enfoncer le clou par de messages clairs et rassurants sur la protection des données personnelles, histoire ne pas faire fuir « quelques » utilisateurs. En substance, d’après les dires du PDG de la Pomme :

Apple vend simplement des produits, ne vend pas de profils à des publicitaires

Apple ne scanne pas les communications ou ne crée pas de porte dérobée sur ses logiciels pour le compte d’une agence gouvernementale. Et ne serait pas en mesure de répondre à une demande d’écoute même s’il le voulait

Les communications iMessage et Facetime sont chiffrées de bout en bout

Les appels Facetime ne sont pas stockés sur leurs serveurs

les sauvegardes dans iCloud peuvent être désactivées par l’utilisateur

Les applications tierces qui stockent des informations dans iCloud n’ont pas accès aux clés de chiffrement.

iOS 8 chiffre le contenu d’un terminal une fois qu’un mot de passe est choisi et saisi. Apple ne le connaît pas et ne peut donc pas le communiquer aux forces de police ou aux autorités.

Bref, Apple mise beaucoup sur la sécurité et la transparence concernant notre vie privée et en profite pour tacler gratuitement au passage Google : « Notre business ne se base pas sur le fait de collecter des données vous concernant. Vous n’êtes pas notre produit. ».

En plus de ces messages publicitaires à répétition, la firme de Cupertino avait aussi encouragé ses utilisateurs à recourir à des mots de passe complexe, tout en annonçant qu’une série de mesures serait prise pour renforcer la sécurité d’iCloud.

Alors, qui est responsable : Apple ou l’utilisateur ?

La question est plus que légitime. Disons que les torts peuvent être partagés : d’une part, nous avons les victimes qui n’ont pas su mesurer à leur juste valeur ces informations très privées et n’ont pas pris de fait les mesures nécessaires pour les protéger. Mais encore faut-il pour cela avoir conscience des risques ou tout simplement connaître certains mécanismes obscurs pour la plupart des utilisateurs : par exemple la sauvegarde automatique du contenu du téléphone sur l’iCloud, la protection renforcée par l’authentification forte…

Et d’une autre part, nous trouvons Apple qui n’a certainement pas placé assez de verrous pour éviter une fuite massive de données personnelles.

Les impacts

Pour les victimes

Au-delà de la diffusion répréhensible d’images à caractère privé et sans discuter de la mode des selfies, qui plus est pris dans le plus simple appareil, se nichent plusieurs enjeux au moins aussi importants : le traitement des femmes sur internet, le harcèlement en ligne, le droit à la confidentialité des données, la sécurité sur internet… Sans oublier tout simplement la sécurité des personnes : les photos sont en en effet susceptibles de contenir des métadonnées de localisation. Autant de conséquences pouvant être traumatisantes pour qui s’en trouve victime. Jennifer Lawrence (toujours elle !) s’est par exemple déclarée « avoir été la proie d’un crime sexuel ».

Dans le cas de personnalités, outre l’atteinte à la vie privée, il s’agit de leur image qui est touchée. Même si par le passé, ce genre de scandale n’a finalement eu que très peu d’impact : Scarlett Johansson continue à tourner de plus belle ! Et en remontant bien plus loin, même Marilyn, entachée dans les années 50 par des photos de jeunesse retrouvées dans les tabloïds, est devenue malgré tout une icône éternelle.

Pour Apple : notoriété et impact financier

Avec quelques semaines de recul, nous pouvons sereinement analyser l’impact indirect de cette affaire sur l’image d’Apple et ses conséquences financières. Comme toute cyberattaque ou un vol de données sur une entreprise majeure, les conséquences peuvent rapidement se chiffrer à plusieurs millions d’euros. Exemple flagrant dès que l’on jette un œil au cours de bourse début septembre :

Dès l’annonce du vol de données, la réaction du marché a été immédiate : alors que l’action progressait ces derniers mois, elle perdit brutalement 4%. Une baisse notable pour Apple mais pas non plus catastrophique. Le pic du 9 septembre correspondant ensuite à la Keynote et l’annonce du nouvel iPhone. CQFD !

Quelles conséquences ?

Plusieurs effets directs ou collatéraux font suite à cette affaire : renforcement des mesures de sécurité, menaces contre Google, campagnes de phishing, canulars…

Nouvelles mesures de sécurité chez Apple

Même si Apple a réfuté toute faille dans son système, la firme a finalement reconnue qu’elle aurait pu en faire d’avantage pour mieux protéger ses utilisateurs. La faute entre autre à des procédures de connexion de secours reposant sur des questions pas si secrètes que cela. Même la Pomme a jugé à postériori que cette méthode était finalement bien trop faible et que si l’authentification à 2 facteurs avait existé sur iCloud, la fuite aurait certainement pu être évitée.

Mi-septembre, Apple se lance donc dans une évolution de la sécurité autour de l’iCloud avec en point d’orgue la double authentification.

Petit panorama des nouvelles politiques de sécurité sur l’iCloud :

§ Activation du système de double authentification (déjà existant sur Itunes et AppStore mais oublié pour iCloud, oups !). Cette « authentification forte » n’est pas obligatoire mais fortement recommandée : après avoir rentré son login et mot de passe, un code à 4 chiffres est envoyé par SMS sur le téléphone de l’utilisateur. Code qu’il doit alors saisir pour réussir à se connecter à l’iCloud. Un email sera d’ailleurs automatiquement envoyé à l’utilisateur pour l’informer de la connexion

Alerte par mail ou par une notification push dès que des données iCloud seront transférées sur un nouvel appareil. Mais aussi dès la détection d’un changement de mot de passe ou dès que l’identifiant sera utilisé sur un périphérique inconnu.

Les applications tierces qui se connectent à iCloud devront utiliser un code de sécurité obligatoire (optionnel aujourd’hui)

En option, contrôle d’une connexion unique en simultané : lors d’une nouvelle connexion d’un utilisateur, toutes les sessions déjà en cours sur d’autres navigateurs seront immédiatement stoppées.

L’authentification forte en option, cela laisse aux hackers quelques beaux jours devant eux…

Par ailleurs, Apple a décidé que les données santé provenant des appareils portables connectés via l’application « HealthKit » ne seraient finalement pas stockées sur iCloud. Les règles de l’Apple Store furent adaptées dans l’urgence et le message est maintenant sans appel : « Les apps qui utilisent le frameworks HealthKit et qui stockent les données santé sur iCloud seront rejetées. ». Mais alors, où les données seront-elles stockées ? Dans un autre Cloud dédié et plus sécurisé ? Apple serait-il encore un peu frileux sur la sécurité de sa plateforme Cloud ?

« Où l’on reparle du droit à l’oubli »

« Le droit à l’oubli », cette récente initiative permettant, sous certaines conditions, de demander à Google de supprimer les résultats d’une recherche mentionnant votre nom ou des données personnelles, les célébrités auraient préféré en bénéficier immédiatement ! Par l’intermédiaire d’un des plus puissants avocats de la place, les stars se sont regroupées pour menacer d’attaquer Google en justice avec à la clé des dommages et intérêts s’élevant à plus de 100 millions de dollars ! La raison ? Ne pas avoir suffisamment agi pour arrêter ces fuites d’images, au contraire de Twitter qui avait clôturé immédiatement les comptes des « fuiteurs ».

Après avoir estimé n’avoir aucune responsabilité dans cette affaire, Google a finalement réagi en indiquant avoir supprimé dans les heures qui ont suivi des dizaines de milliers de références à ces photos volées. Mi-octobre, sous la pression, Google s’est engagé à supprimer 2 liens vers un site hébergeant les photos volées.

Les photos en question sont-elles dès lors impossible à trouver sur Internet ? Pas vraiment, une recherche toute simple par 1 ou 2 mots-clés judicieux y donne accès sans aucune difficulté. Ah, la magie du Net !

Conclusion

Un scandale peut-il entraîner la chute d’un empire ? Sans aucun doute ! Même si nous en sommes très loin ici, il est intéressant d’observer quelle communication fut adopté par Apple pour limiter les dégâts sur son image de marque, notamment en renforçant ses mécanismes de sécurité. A ce stade, pensez-vous en avoir terminé avec cette histoire ? Bien sûr que non ! C’est sans compter l’imagination sans limites des trublions du Net…




Voir les articles précédents

    

Voir les articles suivants