Un Belge de 19 ans pirate iCloud
Kieran Claessens (19 ans) a découvert une faille dans iCloud d’Apple. Il en a abusé pour atteindre facilement les comptes d’autres utilisateurs. Apple a reconnu la brèche et l’a entre-temps colmatée. Grâce à sa trouvaille, le jeune Belge figure à présent dans le ‘Hall of Fame’ de l’entreprise.
Claessens a appliqué une solution de hameçonnage (phishing) dans iCloud. ‘En tant qu’utilisateur, vous disposez de la fonction de prévoir un mot de passe pour vos fichiers. Ce mot de passe vous permet aussi de paramétrer une suggestion vous rappelant quel est votre mot de passe au cas où vous l’oublieriez. Dans le champ où l’on peut saisir la suggestion, j’ai pu injecter un code.’
Claessens a réussi à partager un fichier iCloud infecté avec la cible. Comme le fichier se trouve réellement dans iCloud, il est plausible que quelqu’un y réagisse. En saisissant trois fois un mot de passe erroné pour le fichier, le script de Claessens a été chargé. ‘La victime ne s’apercevrait de rien et une fois que le petit programme tourne, il est possible de prendre le contrôle de la session complète, ainsi du reste que du nom d’utilisateur et du mot de passe de l’utilisateur.’
Pour découvrir la faille, Claessens n’a pas eu besoin de beaucoup de temps: ‘Je l’ai repérée après 15 minutes de tentatives, alors qu’il s’agit pourtant d’une des principales fonctionnalités de sécurité d’iCloud.’ Claessens s’est étonné de l’ampleur de la brèche, mais a aussi une explication: ‘Apple n’offre pas d’argent aux personnes qui découvrent une faille. Tout le contraire de Google par exemple, où l’on reçoit un joli montant. Voilà qui motive d’autant plus les gens à passer Google au peigne fin plutôt qu’Apple.’
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici