L’affaire
Les nouvelles de potins de cette semaine sont le piratage présumé de l’iCloud d’Apple de nombreuses célébrités. Des centaines de photos nues appartenant prétendument à plus d’une centaine d’acteurs et de chanteurs ont été divulguées en ligne.
Dimanche, les photos de 101 célébrités, dont Ariana Grande, Jennifer Lawrence, Victoria Justice, Kate Upton, Kim Kardashian, Rihanna, Kirsten Dunst et Selena Gomez ont été publiées sur le forum de partage d’images en ligne 4chan, et des rumeurs rapportent que les photos ont été obtenues à partir des comptes des célébrités sur le service Apple iCloud.
Des utilisateurs anonymes sur 4chan ont affirmé les avoir pris du service, et malgré cela, Apple n’a pas commenté l’événement, l’analyse des métadonnées EXIF intégrées à l’image confirme que la majorité ont été prises à l’aide d’appareils Apple. Toutefois, l »actrice Mary Elizabeth Winstead a affirmé que ses photos divulguées avaient été prises « il y a des années. »
Une analyse détaillée des métadonnées de l’image divulguée est disponible sur Pastebin à l’adresse suivante:
http://pastebin.com/rHSTg6i8
L’utilisateur anonyme qui a d’abord posté les photos des célébrités a prétendu avoir d’autres photos et vidéos explicites de Lawrence et a demandé des dons via PayPal et Bitcoin pour les publier.
L’incident a soulevé des questions sur le niveau de sécurité offert par les services en ligne tels que le stockage en nuage. Le service iCloud permet aux utilisateurs d’Apple de stocker automatiquement leurs données en ligne, y compris des photos, des documents et des e-mails. Les utilisateurs peuvent accéder à leurs documents de n’importe où une fois authentifiés au service. Il est probable que les attaquants aient d’abord compromisle compte iCloud appartenant à une ou plusieurs célébrités, puis en « enchaînant” entre les comptes, a obtenu l’accès au carnet d’adresses de la victime pour collecter des données pour d’autres attaques.
L’utilisateur de 4chan qui a publié la majorité des photos sollicitait des dons en Bitcoins afin de publier plus de photos et de vidéos divulguées.
L’analyse des enregistrements de transaction liés au compte Bitcoin (18pgUn3BBBdnQjKG8ZGedFvcoVcsv1knWa) utilisé comme collecteur des dons révèle qu’il a reçu huit dons pour un total de 0,26 BTC.
Figure – Compte Bitcoin utilisé par le pirate qui a divulgué les images
Il est peu probable que les pirates aient compromis l’ensemble du service Apple iCloud et son infrastructure. L’attaquant présumé a probablement utilisé un piratage pour cibler des comptes spécifiques.
Nous avons déjà discuté dans le passé qu’il existe de nombreuses façons de violer un compte utilisateur. Un attaquant pourrait deviner les informations d’identification de l’utilisateur, les voler avec un logiciel malveillant ou simplement réinitialiser le compte de la victime en trouvant l’adresse e-mail associée, puis en répondant aux « questions de sécurité ». Un attaquant pourrait collecter les informations nécessaires sur les victimes grâce à diverses formes d’attaques d’ingénierie sociale. Les données recueillies pourraient l’aider à exécuter une procédure d’urgence (par exemple, réinitialisation du mot de passe, réinitialisation de la sauvegarde) en répondant simplement à une série de questions.
Le site Web The Next Web, après la publication des photos, a révélé l’existence d’un code pour le piratage d’iCloud qui a été posté sur le site open source GitHub.
L’application exploite une vulnérabilité, déjà corrigée par Apple, dans le service « Trouver mon iPhone » pour deviner les mots de passe avec des tentatives illimitées sans être verrouillée.
La fonction Localiser mon iPhone permet aux utilisateurs de localiser et de protéger leurs appareils Apple (iPhone, iPad, iPod touch ou Mac) s’ils sont perdus ou volés. L’attaquant peut forcer brutalement le compte de la victime, une opération qui pourrait être améliorée en choisissant les mots de passe dans un dictionnaire de mots et de phrases. Le choix de ces bases de données de mots de passe pourrait être guidé par la connaissance des victimes, de leurs habitudes et de leurs préférences.
L’une des célébrités victimes de la fuite de données, Jennifer Lawrence, a confirmé l’authenticité de ses photos. Son porte-parole a défini l’incident comme une « violation flagrante de la vie privée” et a menacé de poursuivre quiconque partageait les images en ligne.
« Les autorités ont été contactées et poursuivront quiconque publiera les photos volées de Jennifer Lawrence », a déclaré le porte-parole.
Les experts en sécurité spéculent sur le fait que des photos pourraient avoir été volées sur les comptes Dropbox des victimes. Quelqu’un a émis l’hypothèse que des initiés « ayant accès à des données quelque part ont fait une cachette privée” et ont ensuite été piratés par l’individu qui a divulgué les images en ligne.
J’exclus l’hypothèse ci-dessus car les sauvegardes iCloud, y compris les photos, sont cryptées et même en accédant au compte, il n’est pas possible de déchiffrer les informations stockées dans le cloud Apple.
« Certains ont également souligné la présence d’un fichier de tutoriel Dropbox dans un compte piraté comme suggérant que le service de stockage en nuage tiers était la source de certaines images”, déclare The Guardian dans un article sur l’incident.
Une autre application mobile populaire a été mentionnée dans de nombreux articles publiés sur la fuite de données est Snapchat. Plusieurs images avaient du texte superposé, ce qui indique qu’au moins certaines des images ont été partagées avec Snapchat. Bien que Snapchat ait été affecté par des problèmes de sécurité majeurs au cours des derniers mois, il est peu probable que sa violation soit la cause de la violation de données.
Au moment d’écrire ces lignes, Apple a corrigé la faille de sécurité du service Apple iCloud qui aurait pu être exploitée par des attaquants pour violer des comptes de célébrités et voler leurs photos. Le correctif de sécurité intervient quelques heures seulement après que des pirates ont publié des centaines de photos de célébrités nues sur 4chan.
La faille – La connexion « Find My iPhone” d’Apple vulnérable aux attaques par force brute
Les pirates informatiques qui ont divulgué les photos de célébrités privées en ligne ont peut-être exploité une faille de la fonctionnalité « Find my iPhone” d’Apple, qui permet à un attaquant de forcer brutalement le compte de l’utilisateur.
Quelques heures après la fuite de données, sur le référentiel en ligne GitHub a été publié un script Python qui pourrait être utilisé pour « forcer brutalement” le mot de passe d’un compte Apple iCloud, exploitant la vulnérabilité du service Find My iPhone. L’attaquant pourrait utiliser le script pour deviner à plusieurs reprises les mots de passe dans le but de découvrir le bon.
Le script était disponible pour tout le monde, au moins pendant quelques jours, avant qu’Apple ne corrige la vulnérabilité, bloquant les comptes après cinq tentatives infructueuses.
On ne sait pas depuis combien de temps cette vulnérabilité était présente dans la fonctionnalité Localiser mon iPhone. La seule certitude est que la faille était exploitable par des attaquants qui connaissaient l’adresse e-mail des victimes.
Le propriétaire de l’outil, Hackapp, a signalé que le correctif avait été appliqué à 3h20 du matin PT. Quoi qu’il en soit, il a fait remarquer qu’il n’y a aucune preuve qu’ibrute ait été impliqué dans cet incident.
« Je n’ai encore vu aucune preuve, mais j’admets que quelqu’un pourrait utiliser cet outil”, a-t-il déclaré.
Figure–HackApp Tweet
Figure–GitHub PythonScript Read me file
Le script peut deviner les mots de passe à plusieurs reprises sans verrouillage ni alerte de la cible. Une fois le mot de passe découvert, il pourrait être utilisé pour accéder au compte de la victime.
Script Python à exécution de figures
Hackapp a confirmé que ce type de faille est très courant pour les interfaces de service d’authentification:
« Ce bogue est commun pour tous les services qui ont de nombreux interfaces d’authentification” et qu’avec « une connaissance de base des techniques de reniflage et d’inversion”, il est « trivial” de les découvrir ”, a déclaré l’expert.
Hackapp a également publié les diapositives qui comprenaient des détails sur le schéma d’attaque et une analyse des problèmes de sécurité liés au trousseau iCloud.
Diapositives publiées par Hackapp
Un point de vue intéressant est celui de Christopher Soghoian, directeur de la technologie à l’American Civil Liberties Union, sur la faille du système Apple et son exploitation présumée:
« Si les mots de passe des comptes iCloud des célébrités ont été forcés, le problème semble être le manque de limitation de débit par Apple, pas le manque de crypto”, a commenté Soghoian via Twitter.
Un « film” déjà vu
En mai 2014, les cybercriminels ont ciblé un grand nombre d’utilisateurs australiens d’iCloud d’Apple avec un système d’extorsion sophistiqué.
Les utilisateurs d’Apple ont été ciblés par l’attaque de type ransomware qui a verrouillé iPhone, Mac et iPad via iCloud et un message provenant du service Find my iPhone d’Apple indiquant « Appareil piraté par Oleg Pliss”.
Figure – Piratage iCloud par Oleg Pliss
En mettant en œuvre un système d’extorsion consolidé, les criminels demandent à déverrouiller l’appareil en envoyant jusqu’à 100 ransom de rançon à un compte Paypal spécifique.
« Je suis allé vérifier mon téléphone et il y avait un message à l’écran (il est toujours là) disant que mon (mes) appareil(s) avait été piraté(s) par ‘Oleg Pliss’ et qu’il / elle demandait 100 USD / EUR (envoyé par paypal à lock404(at) hotmail.com) pour me les rendre ”, a écrit une victime du nouveau ransomware sur le forum d’assistance Apple.
En réalité, les utilisateurs d’Apple ne sont pas confrontés à une infection classique de leurs appareils par un ransomware; les attaquants auraient détourné la fonctionnalité Find My iPhone d’Apple. De cette façon, les criminels verrouillent à distance les appareils iOS et Mac et envoient des messages demandant une rançon.
Les cybercriminels utilisaient des comptes iCloud compromis qui n’utilisaient probablement pas un processus de vérification en deux étapes. Pour ces comptes, les pirates peuvent accéder à l’appareil simplement en utilisant des informations d’identification volées.
Dans ce scénario d’attaque, la seule possibilité de récupérer l’appareil pour les propriétaires d’appareils Apple est de le réinitialiser en « mode de récupération”, mais ce processus effacera toutes les données stockées sur l’appareil et les applications installées.
Qui est le coupable ?
La chasse au coupable est ouverte. Le développeur Bryan Hamade est l’une des principales personnes soupçonnées de fuite de données. Les utilisateurs de Reddit et de 4chan ont spéculé sur la possibilité que Hamade soit le coupable car une capture d’écran publiée en ligne semblait montrer une série de noms liés à une société de développement Web en Géorgie.
Figure – Bryan Hamade soupçonné comme coupable du piratage
L’homme a refusé l’accusation et a expliqué aux médias qu’il n’avait rapporté que les images.
« Je n’ai republié qu’une seule chose qui a été postée ailleurs et j’ai bêtement vu mes dossiers réseau.”
« Je ne suis pas le fuyard d’origine. Le vrai gars est sur 4chan en postant par intermittence” « Il est probablement celui qui se cache derrière, mais il semble que les photos aient été transmises à plusieurs personnes avant d’être divulguées, il se peut donc que ce soit quelqu’un qui les a et qui n’a pas piraté pour les obtenir. En un million d’années, je n’aurais jamais su pirater aucun des comptes répertoriés. 4chan vient de m’attaquer parce qu’ils aiment attaquer n’importe qui dans des situations comme celle-ci ”, a-t-il déclaré.
Hamade a révélé qu’il recevait des menaces continues de personnes enquêtant sur le piratage présumé d’iCloud:
» Ça a été un cauchemar et je n’ai pas dormi depuis 34 heures, maintenant. les utilisateurs de 4chan me harcèlent avec des appels téléphoniques et des e-mails non-stop. Ils m’envoient constamment des courriels pour me dire qu’ils vont pirater mes sites Web personnels et continuer à appeler mon téléphone, à me traiter de pédé et à raccrocher. Ils ont également dit qu’ils pirateraient le site de ma mère, alors je l’ai retiré so je le regrette tellement … je n’en ai même pas tiré de bitcoin. C’est la chose la plus stupide que j’ai faite et j’espère que cela ne ruinera pas ma vie, même si ce sera probablement le cas car ce n’est que la plus grande nouvelle.”
Comment sécuriser votre cloud personnel
Les services de stockage en nuage sont très populaires. Les utilisateurs et les entreprises stockent une quantité impressionnante de données sur le cloud, et il est important de comprendre comment améliorer leur protection. Tout d’abord, permettez-moi de suggérer d’activer l’authentification à deux facteurs pour les services qui l’implémentent, et de choisir un mot de passe fort, surtout lorsqu’il s’agit de la seule protection qui préserve nos données.
Comment choisir un mot de passe fort ?
Pour composer des mots de passe difficiles à deviner, laissez-moi vous recommander:
- Utilisez des mots de passe longs (longueur minimale de sept caractères, de préférence plus pour augmenter la force)
- Utilisez un large éventail de caractères, y compris A-Z, a-z, 0-9, la ponctuation et les symboles, comme # @@, si possible
- En règle générale, essayez d’utiliser au moins un caractère minuscule et un caractère majuscule, et au moins un chiffre. Si cela est techniquement possible, utilisez également un signe de ponctuation. Cela permet d’augmenter l’espace de recherche total.
- Utilisez des chiffres à la place des lettres dans certains cas. Changez « i » par ”1″, ”E » par ”3″, ”A » par ”4″ (ou @), ”S » par ”5″, ”G » par ”6″, ”O » par ”0″. Encore une fois, cela permet d’augmenter l’espace de recherche.
Évitez les mots de passe triviaux car ils sont toujours inclus dans un dictionnaire de mots de passe. Les mots de passe ne doivent pas inclure votre nom ou votre identifiant/identifiant. Il est important de créer des mots de passe complexes mais faciles à mémoriser. Par exemple, supposons que vous soyez un grand fan des Simpson. Un bon mot de passe pour votre e-mail pourrait être quelque chose du type: Ih4teM0ntg0m3ry #Burn5 (si vous ne l’obtenez pas, cela signifie « Je déteste Montgomery Burns”). Et pour Facebook, vous pouvez peut-être utiliser B4rT # I5 # MY #Fr13nD (« Bart est mon ami”, avec des chiffres à la place des lettres et chaque mot commençant et terminant en majuscules). Ceux-ci ne sont pas si faciles à deviner par des attaques par force brute en raison de la longueur, de la plage de caractères (majuscules et minuscules, chiffres et symboles), et parce que savoir que vous aimez Les Simpsons ne signifie pas qu’il est facile de dériver ce que vous pensez des personnages des Simpsons.
Lorsque vous utilisez de longues expressions ou phrases comme mot de passe, essayez d’utiliser une technique simple pour remplacer une lettre par une autre lettre: par exemple, remplacer chaque lettre » a » par le symbole » pour cent « . Cela aide à prévenir les attaques par dictionnaire tout en gardant facile de se souvenir de votre phrase de passe.
Une autre possibilité pour les utilisateurs est d’adopter des gestionnaires de mots de passe qui permettent également aux utilisateurs d’utiliser des mots de passe complexes.
Activez l’authentification à deux facteurs pour le service Apple iCloud
Tout d’abord, connectez-vous à votre compte Apple avec votre identifiant Apple.
- Sélectionnez « Gérer votre identifiant Apple et connectez-vous »
- Sélectionnez ”Mot de passe et sécurité »
- Sous ”Vérification en deux étapes », sélectionnez ”Démarrer » et suivez les instructions.
Conclusions
Soyez conscient, car les célébrités ne sont pas les seules à être exposées à de tels risques. Que vous soyez un gestionnaire ou un individu ordinaire, vos données sont un bien précieux dans l’écosystème de la cybercriminalité. Pour cette raison, il est important de connaître les principales cybermenaces et les principales pratiques d’atténuation. Cela pourrait n’être que le début. En ce moment, il y a beaucoup de confusion sur l’événement, mais Taylor Swift d’InfoSec a averti que d’autres célébrités pourraient avoir été impactées:
« _ Ce n’est que le début._ Des dossiers d’images avec des vignettes visibles ont été affichés, de nombreuses célébrités n’ayant pas encore été impactées qui le seront. »Apple a déclaré lundi à Recode qu’il enquêtait sur l’incident pour découvrir si ces comptes iCloud avaient vraiment été piratés et comment.
« Nous prenons la confidentialité des utilisateurs très au sérieux et enquêtons activement sur ce rapport”, a déclaré la porte-parole d’Apple, Natalie Kerris.
Restez à l’écoute pour plus d’informations.
http://www.businessinsider.com/4chan-nude-photo-leak-2014-8
http://www.businessinsider.com/icloud-naked-celebrity-photo-leak-2014-9
http://thenextweb.com/apple/2014/09/01/this-could-be-the-apple-icloud-flaw-that-led-to-celebrity-photos-being-leaked/
http://www.independent.co.uk/life-style/gadgets-and-tech/is-apples-icloud-safe-after-leak-of-jennifer-lawrence-and-other-celebrities-nude-photos-9703142.html
http://www.businessinsider.com/man-accused-of-leaking-naked-celebrity-icloud-photos-denies-everything-2014-9
http://www.zdnet.com/after-alleged-icloud-breach-heres-how-to-secure-your-personal-cloud-7000033177/
http://www.businessinsider.com/apple-fixes-security-flaw-in-find-my-iphone-software-2014-9
Extortion scheme based on ransom request hit Australian Apple Users
http://www.theguardian.com/technology/2014/sep/01/naked-celebrity-hack-icloud-backup-jennifer-lawrence
http://pastebin.com/rHSTg6i8