Apple ID: une faille comblée dans l'urgence, Réactions à la publication du 23/03/2013 |
Bienvenue invité ( Connexion | Inscription )
Apple ID: une faille comblée dans l'urgence, Réactions à la publication du 23/03/2013 |
23 Mar 2013, 07:34
Message
#1
|
|
BIDOUILLE Guru Groupe : Admin Messages : 55 354 Inscrit : 14 Jan 2001 Lieu : Paris Membre no 3 |
Hier, pendant quelques heures le système permettant de réinitialiser les mots de passe des comptes Apple a été inaccesslble.
Cela a fait suite à une découverte faite par The Verge d'une faille permettant de récupérer un nouveau mot de passe en connaissant uniquement l'adresse mail d'un utilisateur et sa date de naissance. Or, à une époque où tout ou presque est rendu public sur les réseaux sociaux, ces deux données ne sont pas le moins du monde confidentielles. La faille était liée à l'utilisation d'une URL spécialement formatée qui permettait de contourner toutes les premières étapes de validation de la demande de changement de mot de passe. En résumé, Apple avait une URL fixe une fois les personnes authentifiées dans laquelle il suffisait de modifier certaines séquences pour passer sans difficultés. La réponse de la société a été très prompte. A peine le problème annoncé (mais pas dévoilé dans le détail), la société a fermé ses serveurs permettant de restaurer un mot de passe et les a mis à jour, réglant le problème, avant de les remettre en ligne. Par Lionel -------------------- C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
|
|
|
23 Mar 2013, 08:42
Message
#2
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 1 160 Inscrit : 30 Sep 2008 Membre no 122 696 |
Y'a encore des requêtes aussi sensibles qui passent en mode GET et sans chiffrage HTTPS ? C'est de l'amateurisme de la part des développeurs Apple !
|
|
|
23 Mar 2013, 09:21
Message
#3
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 814 Inscrit : 11 Oct 2002 Lieu : Nantes Membre no 4 083 |
Ne faut il pas prendre ses précautions et changer son mot de passe ?
-------------------- Fan d'apple depuis ... 1987. Donc pas parmi les premiers, mais ça fait tout de même un moment. la vraie nouveauté, c'est ce qui ne vieillit pas malgré le temps. (Muriel Barbery) Membre n° 87 du club des AIPBP (Anciens Inscrits Pas Beaucoup de Posts) Voir la liste |
|
|
23 Mar 2013, 10:03
Message
#4
|
|
Adepte de Macbidouille Groupe : Membres Messages : 95 Inscrit : 30 Nov 2002 Lieu : Paris - RP Membre no 4 942 |
Ne faut il pas prendre ses précautions et changer son mot de passe ? Non car si hack du compte il y a eu, c'est "simplement" le mot de passe qui a été changé. Donc si compte hacké => impossible de se logguer => uniquement dans ce cas il y a besoin de changer Y'a encore des requêtes aussi sensibles qui passent en mode GET et sans chiffrage HTTPS ? C'est de l'amateurisme de la part des développeurs Apple ! Rien à voir avec le fait que ça passe en HTTP ou HTTPS, en GET ou en POST dans ce cas. En gros si j'ai bien compris (pas vu l'exploit en détail) 1. Bonjour je veux changer le mot de passe de mon compte [email protected] => POST 2. Oui ma date de naissance est le 02/08/1971 => POST 3. Question de sécurité ? Bonne question (rien) 4. GET (ou POST, mais vu que c'est sur le client de la personne qui attaque, ça ne change rien) sur la page de changement de mot de pass => OK Il manquait "simplement" la vérification que la question de sécurité a bien été répondue dans le cheminement. Ce qui est une énorme boulette … mais qui n'a rien à voir avec HTTPS ou GET -------------------- Romuald
|
|
|
23 Mar 2013, 11:56
Message
#5
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 1 153 Inscrit : 23 Oct 2002 Lieu : France Membre no 4 287 |
Au vu de la promptitude de la réaction d'Apple, j'en viens à me demander si le hack récent de ses serveurs n'a pas été bénéfique au final. En lui ouvrant les yeux, la faisant descendre de son piédestal. Non Apple, n'est pas invulnérable, elle vient de l'apprendre à ses dépend et la piqûre de rappel semble avoir été efficace.
Je me fourvoies certainement, mais je n'arrive pas à me débarrasser de cette impression. -------------------- PowerMac G5 bi 1.8 / RAM 4 Go / DD 1 To + 1 To / 10.5.8
eMac 1.25 / RAM 1 Go / DD 80 Go / AP / Tiger PPC 7300-166 / RAM 400 Mo / DD 2 Go + 4 Go / ATI Rage 128 16 Mo / 9.2.2 Je respecte les autres, alors j'écris correctement (enfin j'essaye :)) |
|
|
23 Mar 2013, 13:28
Message
#6
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 327 Inscrit : 9 Feb 2002 Lieu : Thaïlande Membre no 2 014 |
Ça commence à chauffer !
Je reçois assez régulièrement un mail d'Apple m'indiquant que j'ai quelques heures pour réinitialiser mon mot de passe à la suite d'une erreur de logging. Si ce n'est pas moi, que je ne m'inquiète pas c'est sans doute quelqu'un qui sait trompé en utilisant mon adresse par erreur !!! Evidemment je ne fais rien, mais je trouve ces mails de plus en plus flippant. Devrais-je prendre des précautions complémentaires ? -------------------- Mac depuis 1983 :-)
- iMac 27" Core i7 3.4Ghz : 16Go SSD 256Go DD 2To - MacBookAir 13" : 8Go SSD 256Go - iMac G5 24" IC2D : 2.33Ghz 2Go DD 2To SD - iPhone5 16Go - iPad6 Wifi 4G 64Go Qui suit les avis de chacun construit sa maison de travers |
|
|
Nous sommes le : 19th May 2024 - 06:50 |