Le déplombage qui met en danger 220 000 comptes iCloud

Mickaël Bazoge |

220 000 comptes iCloud sont en danger. L’affaire est d’importance, et elle touche en particulier des utilisateurs chinois d’iPhone ayant déplombé leurs smartphones. En installant un tweak spécifique, ils ont ouvert la porte au vol de leurs données stockées sur l’espace en ligne d’Apple. C’est WooYun, une plateforme respectée fréquentée par des chercheurs en sécurité (ils signalent des milliers de vulnérabilités chaque mois sur tous systèmes), qui signale cette faille, reprise en anglais sur Reddit.

Les utilisateurs de ces centaines de milliers de comptes iCloud se sont vus subtiliser leurs identifiants et mots de passe au travers d’une porte dérobée. Ces informations sont stockées sur un serveur distant dont on ignore encore qui en est le propriétaire et à quel usage elles se destinent. Ces données ouvrent en tout cas en grand les courriels, photos, et autres document stockés en ligne de ces imprudents.

Capture d’écran des données volées.

Étant donné la nature de la brèche, Apple ne peut être tenue responsable, le constructeur n’autorisant pas le jailbreak comme chacun sait. Il en va de la responsabilité de chaque utilisateur et dans ce cas précis, le déplombage de ces iPhone a eu une conséquence néfaste. Pour éviter les problèmes de sécurité, mieux vaut donc se tenir à l’écart du jailbreak, mais si on décide de débloquer tout de même son smartphone, la prudence commande d’éviter de piocher dans des répertoires interlopes chinois, de ne pas télécharger d’apps piratées ni de tweaks en dehors de Cydia. On gagnera aussi à activer l’authentification deux facteurs pour protéger son compte iCloud.

avatar reborn | 

Bien fait pour eux, le jailbreak c'est pour l'utilisateur averti.

avatar frankm | 

En particulier depuis que le jailbreak est chinois qui rime avec liberté d'expression, demandez au Tibétains. Zut c'est vrai, ils diront rien !

avatar Almux | 

M'étonnerait qu'on leur laisse un iPhone: c'est une "porte dérobée" sur l'insurrection!

avatar Breizh44 | 
avatar C1rc3@0rc | 

La double validation ne change rien, si ce n'est que cela offre une liaison entre une donnees personnelle et un numéro de téléphone. Bref bon pour l'entreprise, mais pas forcement pour le client.

Dans le cas présent c'est encore pire puisque avec la double validation le pirate peut obtenir deux informations pour le prix d'une!
Et puis, comme chacun sait les donnees d'iCloud, comme tous les cloud sont stockée comme elles arrivent (pas chiffrées), donc une fois que le pirate a acces au cloud, il a acces a toutes les informations classiques (donnees, video, musique, bouquin, mais aussi tout ce que stockent les applications...), mais egalement aux autres machines (Find my Phone), les signets, les documents, trousseau d’accès...

faut se rappeler de l'adage: ce qui est mis sur le WEB est public!

avatar Un Type Vrai | 

"ce qui est mis sur le WEB est public!"

Effectivement.
ça me rappelle les demandes "Empêcher les utilisateurs de télécharger l'image publié sur un page web"
J'ai expliqué pourquoi c'était impossible, le client a payé une SS2I pour une solution bidon et est revenu vers moi triomphant : "Vous voyez que c'est possible"*.
1 seconde après, il etait vert pour avoir payé un escroc...

Bref.

*un pauv JS qui bloque le clic droit... C'est sûr que c'est aussi efficace que le scotch dans les trains pour empêcher la pose de bombes...

avatar patrick86 | 

@Un Type Vrai :
Bah oui c'est efficace ! :D
"Oh meerrrdee y'a du scotch.. Je peux pas teroriseerr!"

avatar phoenixback | 

@patrick86 :
Pire; ooooh y'a un poster alerte attentat avec un triangle rouge je vais pas pouvoir passer noooooonnnn!

avatar iPop | 

@C1rc3@0rc :
iCloud est désormais chiffrée

avatar XiliX | 

@iPop :
Exact... toutes les données stockées sur les serveurs d'Apple sont double cryptées

avatar jojo5757 | 

Idem, je jailbreakais toujours avant mais depuis Touch ID (je jailbreakais pour mettre un mot de passe sur certaines applis car je ne voulais pas a chaque déverrouillage mettre un code) je ne jailbreake plus. Et ce d'autant que je n'ai absolument aucune confiance dans le team Chinois, ça sent l'arnaque à plein nez...

avatar KevinR | 

C'est pas bien le jailbreak :p
J'ai essayé sur mon 4s et 5s mais maintenant je le ferai plus, c'est tout en anglais, Cydia n'est pas si simple à utiliser je trouve.
En tout cas se qui est bien c'est que la garantie ou l'échange avec l'assurance mobile (Spb) se passe sans souci même après avoir d'jailbreak ;)

avatar hirtrey | 

Et surtout de changer le mot de passe root !

avatar Aldwyr | 

Bah... Il est vrai qu'à partir du moment où :
C'est l'utilisateur qui aider à explorer une faille de sécurité déplombant son tel lui même, c'est le rêve pour un bon nombre de hacker.^^' meme pas besoin de se faire chier à essayer d'accéder à distance au information, l'utilisateur le fait pour toi et avec joie. XD

Enfin bref... Il ne faut pas s'en étonner. C'est comme les appareils rooter chez Android. Donner les droits root a une application craker, et c'est la fête du slip.
Bah la, c'est pareil... Apple n'a rien à faire, hormis combler la faille qui est exploité.

avatar Aldwyr | 

@aldwyr :
Qui est exploité pour le jailbreak j'entend.*

avatar C1rc3@0rc | 

Ben 100% des malware sur MacOS et iOS necessitent une intervention de l'utilisateur.
Le Jailbreak se bases sur un bug de l'OS, mais il faut que l'utilisateur fass en sorte que le soft puisse atterir sur la machine!

Y a des bons trucs su Cyda, mais il y a aussi des risques.
Et faut pas se leurrer les criminels vont de plus en plus investir le jaibreak pour pirater les appareils iOS, c'est tellement simple a exploiter!

avatar sachouba | 

@Aldwyr:
Sauf qu'en rootant son appareil Android, ses identifiants et mot de passe Google ne sont pas publiés sur Internet. ;)

avatar reborn | 

@KevinR
T'as pas connu les premières version d'ios. Le jailbreak était indispensable

avatar Lestat1886 | 

@reborn :
Utile peut-être mais pas indispensable

avatar ddrmysti | 

Un des responsables de cydia avait déclaré il y a quelques années que le pourcentage de jailbreak à l'époque était constant, entre 8 et 11% au gré des mises (certains faisaient les MAJ sans attendre que le jail soit dispo). La preuve en est que ce n'était pas indispensable, sinon 100% des terminaux l'auraient étés. Moi le premier je m'en passais très bien.

avatar Gueven | 

@reborn :
Indispensable ? C'est vite dit ...

avatar kril1n | 

Vous pouvez arrêter d'employer le mot déplomber pour jailbreak ?? Ça n'a aucun sens d'employer ce terme dans ce cas de figure.

avatar nayals | 

@kril1n :
Tu préfères 'débrider' ? Je trouve ça moins parlant perso

https://www.igen.fr/iphone/c-est-officiel-dit-debrider-et-non-jailbreake...

avatar Flyingbike | 

@kril1n :
Parce que "casser la prison" c'est mieux ???

avatar reborn | 

Bah déplomber = faire sauter tous les verrous de securité.

avatar phoenixback | 

@reborn :
Plomber = donner le hiv

avatar C1rc3@0rc | 

@reborn
+1

Surtout qu'il n'y a pas que des verrous de sécurité, mais aussi des limitations commerciales...

avatar frankm | 

Et il y a ceux qui s'achète une voiture allemande hors de prix et ils la prennent en diesel car le super c'est trop cher !

avatar Leo27 | 

@Einsteinium : Hum cette bonne veille phrase, c'est PAS QUE pour avoir des applis gratuites, d'ailleurs les dernières versions y aucun tweaks vraiment stable pour le faire. Donc arrête voir avec ta phrase de frustré à 2,5 francs

avatar ddrmysti | 

0,38€ *

avatar Mathias10 | 

Attention! Ce n'est pas le jailbreak dont il est question mais d'un tweeks spécifique.

Après il y a des failles avec le jb (on l'a vu récemment) mais il n'est pas question de ça ici

avatar adrien1987 | 

"Deplombage" lol.

avatar Gueven | 

Le problème de fond vient du fait que pas mal de personnes qui jailbreak leur matos, n'ont que très peu de connaissances techniques (voir aucune). Du pain béni pour ceux qui ont de mauvaises intentions.
Apple ferme les portes pour simplifier la vie des utilisateurs, mais voilà certains se croient plus malin.

avatar thebarty | 

Cet article me déçoit énormément ! Pas un seul malandrin, coquinou ou autre alors que le thème s'y prêtait tellement ?
C'est plus ça, la rédac ! D'fuat vous ressaisir !

CONNEXION UTILISATEUR