Apple dément toute faille dans son service AppleID, Réactions à la publication du 23/03/2017

[Lionel]

Motherboard a relayé une demande de rançon de pirates qui réclamaient 75000$ en Bitcoins et 100000$ en cartes iTunes en échange de la suppression d'un fichier de cache qui contenait identifiants et mots de passe d'une multitude de comptes iCloud et de mail. On a d'abord parlé de 300 millions de comptes compromis, puis 600 millions.
Apple a assez rapidement répondu de manière officielle à Fortune (et pas à un site d'informatique) et affirmé qu'elle n'avait eu aucune faille de sécurité permettant de récupérer de telles informations sur ses serveurs.
"La liste alléguée des adresses email et des mots de passe semble avoir été obtenue à partir de services tiers précédemment compromis"

Ce fichier semble être issu d'un vol précédent, peut-être celui de LinkedIn et Yahoo. Tout au plus, il pourrait être issu de tests des choses récupérées sur ces sites afin de trouver les couples identiques utilisés sur les services Apple.

Tout semble donc n'être qu'une immense tentative d'extorsion de fonds mais rappelle combien il est important de ne pas utiliser les mêmes couples d'identifiants/mots de passe sur des sites différents.

Lien vers le billet original

[Rorqual]

Tout semble donc n'être qu'une immense tentative d'extorsion de fonds mais rappelle combien il est important de ne pas utiliser les mêmes couples d'identifiants/mots de passe sur des sites différents.

Ca aide, mais à mon avis il est encore mieux d'activer l'authentification double facteur quand elle est proposée par le site, ce qui est le cas des site majeurs maintenant. Comme ça, il faut me piquer et mon mot de passe et mon smartphone pour se connecter, plutôt difficile !

[ConseilMac]

Sans oublier le Phishing... qui est de plus en plus réaliste !

http://forum.macbidouille.com/index.php?showtopic=402173

[broitman]

en fait, on ne sait rien

si c'est vrai, ou purement de l'intox

dans le doute, changeons les mots de passe

Attention a bien les differencier: de bons pirates s'echangent des informations sur les couples ID/mdP pour cibler les vulnerabilites de ceux qui utilisent frequemment le meme couple, ou bien alternent avec le meme denominateur/pin

[Chicken Mayo]

Ca aide, mais à mon avis il est encore mieux d'activer l'authentification double facteur quand elle est proposée par le site, ce qui est le cas des site majeurs maintenant. Comme ça, il faut me piquer et mon mot de passe et mon smartphone pour se connecter, plutôt difficile !

Ou installer sur ton smartphone un malware qui redirige les SMS vers le serveur des pirates

[Pascal007]

En attendant, comme les pirates ne sont toujours pas passés à l'acte, nous pouvons encore tous très facilement agir pour protéger nos données:

• En changeant son mot de passe, et
• En activant la double authentification

En rendant la menace publique, Apple permet à tous de réagir et ainsi de diminuer la force d'impact des pseudos-pirates… et se protéger individuellement

[raoulito]

Ca aide, mais à mon avis il est encore mieux d'activer l'authentification double facteur quand elle est proposée par le site, ce qui est le cas des site majeurs maintenant. Comme ça, il faut me piquer et mon mot de passe et mon smartphone pour se connecter, plutôt difficile !

Ou installer sur ton smartphone un malware qui redirige les SMS vers le serveur des pirates

la double authentification ne fonctionne pas forcement avec le sms.. On a des logiciels de fabrication de double code à installer (google propose cela), ou alors une autorisation sur un autre appareil (paypal ou icloud), on peut aussi passer par un appel vocal et yen a surement d'autres...

En attendant, comme les pirates ne sont toujours pas passés à l'acte, nous pouvons encore tous très facilement agir pour protéger nos données:

• En changeant son mot de passe, et
• En activant la double authentification

En rendant la menace publique, Apple permet à tous de réagir et ainsi de diminuer la force d'impact des pseudos-pirates… et se protéger individuellement

+1
perso la semaine dernière j'ai changé... le email root de mon icloud (celui pour se logger), c'est con, c'est plus chiant que de changer le mot de passe, mais ca protege bien aussi

Ce message a été modifié par raoulito - 23 Mar 2017, 12:21.

[Rorqual]

Ou installer sur ton smartphone un malware qui redirige les SMS vers le serveur des pirates

la double authentification ne fonctionne pas forcement avec le sms.. On a des logiciels de fabrication de double code à installer (google propose cela), ou alors une autorisation sur un autre appareil (paypal ou icloud), on peut aussi passer par un appel vocal et yen a surement d'autres...

Exact, et je trouve même un peu casse-pieds quand ce n'est possible que par SMS. Du genre si on ne capte pas le réseau, au sous-sol ou dans certains bâtiments modernes...
J'utilise l'appli Authy, Google Authenticator, VIP Access, Steam selon le service. Enfin, même plus Google Auth depuis que j'ai découvert qu'Authy gère aussi ce mécanisme. VIP Access pour eBay et Paypal, Authy pour Google, EA, Amazon, Facebook, Ubisoft, Skrill, Dropbox, Meraki, Microsoft, Twitter, TeamViewer, Twitch et Humble Bundle. Steam pour Steam. LinkedIn et Apple ne sont qu'en SMS.

Ce message a été modifié par Rorqual - 23 Mar 2017, 13:14.

[Tmps]

En attendant, comme les pirates ne sont toujours pas passés à l'acte, nous pouvons encore tous très facilement agir pour protéger nos données:

• En changeant son mot de passe, et
• En activant la double authentification

En rendant la menace publique, Apple permet à tous de réagir et ainsi de diminuer la force d'impact des pseudos-pirates… et se protéger individuellement

Je vais te faire part de mon expérience de 10 ans en support technique Mac
- encore trop d'utilisateurs n'aiment pas les mots de passe compliqués
- encore trop d'utilisateurs ne comprennent pas l'utilité d'avoir 1 mot de passe spécifique par compte/service
- encore trop d'utilisateurs ne comprennent rien à la double authentification
- beaucoup d'utilisateurs ne lisent pas le moindre article concernant les problèmes de piratage informatique
- beaucoup d'utilisateurs d'iCloud ne savent pas vraiment ce que c'est, où se trouvent leurs données, si elles sont sauvegardées ailleurs, etc.

Et ce n'est pas faute d'avoir passé du temps à leur expliquer les tenants et les aboutissants, l'importance à accorder à la sécurité, etc.

Je me vais me répéter... mais plus cela évolue, au moins l'utilisateur Lambda comprend vraiment les technologies qui remplissent ses ordinateurs et gadgets électroniques. Les gens sont largués! Tant que cela fonctionne, il ne se posent pas de questions. Tant qu'ils ne sont pas confrontés à des merdes, ils ne se posent pas de questions.

Pourquoi? Parce que pendant des années, les acteurs du monde informatique ont basé leur marketing sur les:
- c'est simple, il suffit juste d'activer, vous verrez, il n'y a rien à comprendre
- niveau sécurité, ne vous en faites pas, vous ne risquez rien
- non, non, personne d'autre ne peut accéder à vos données
- etc.

Et maintenant, tout ce qu'on leur a raconté s'avère être du vent! Du gros vent! Pour corriger cela, et sauver les apparences, les ingénieurs, incapables de se mettre au niveau des utilisateurs basiques (pas ceux qui savent déjà que des forums existent, qui se renseignent, etc.) ajoutent une couche supplémentaire qui rend les choses encore plus complexes!

Par exemple: la double authentification avec Google Authenticator? J'adore mais qui n'a jamais oublié de tout faire dans les règles de l'art, avant de passer à un nouvel appareil? Et là, c'est la merde. Qui ne s'est jamais retrouvé avec un iPhone d'occasion, toujours lié au compte iCloud du vendeur. Vendeur difficilement joignable et/ou qui ne saura pas quoi faire pour débloquer la situation.

Bref, souvent, toutes ces techniques de sécurité emmerdent surtout l'utilisateur légitime qui ne désire pas se prendre la tête. Par contre, pour les pirates, c'est juste un challenge en plus.

Pour en revenir à la news, j'aimerais que cette histoire ne soit pas juste un coup de bluf des pirates et que des comptes iCloud soient réellement effacés. J'avoue, pour les utilisateurs qui seraient concernés, ce serait une catastrophe. Mais la suffisance d'Apple, à filer la patate chaude à ses clients, mérite un sérieux retour de bâton. Il tarde à arriver, mais il arrivera tôt ou tard.

Ce message a été modifié par Macbox - 23 Mar 2017, 19:58.