iCloud : Apple commence à envoyer des notifications de sécurité, Réactions à la publication du 09/09/2014

[Lionel]

Comme l'avait annoncé Tim Cook, Apple a commencé à renforcer sa sécurité sur iCloud en envoyant des mails d'avertissement aux propriétaires des comptes en cas d'activité inédite.




C'est une bonne chose même si cela interviendrait dans la plupart des cas après un piratage. Tout au plus cela évitera que des pirates puissent revenir une seconde fois.


[MàJ] Les spécialistes du Phishing se sont déjà engouffrés dans cette brèche et tentent d'obtenir des identifiants de connexion en copiant les mails d'Apple et la page iCloud. Si nous ne doutons pas de la vigilence de nos lecteurs, nombre de personnes risquent hélas de se laisser alpaguer après tout le battage médiatique qu'il y a eu.

Lien vers le billet original

[(The)Space]

J'ai eu ce mail, mais venant d'essayer d'activer la validation en deux étapes je n'y avait pas prêté attention.
Tout s'explique…
.

[Chriz]

Y a-t'il des logs d'activité sur iCloud accessibles par l'usager, question de savoir si des données ont été copiées?

[Sardequin]

Tiens une question que je viens de me poser à l’instant, entre deux gorgées de mon café matinal. J’ai activé la double authentification pour mon Apple ID. Mais, il y a un mais… Quand l’Apple ID est différente du compte iCloud, et je pense que c’est le cas pour beaucoup d’entre nous ici, comment faire pour le compte iCloud ?

C’est une bonne question ou je dois augmenter la dose de café ?

[babasse]

Pour moi le phishing a commencé aussi

http://www.hostingpics.net/viewer.php?id=962807Appe.jpg

le lien en bas du mail arrive sur un faux site d'apple

Ce message a été modifié par babasse - 9 Sep 2014, 09:19.

[Heret]

Et avec les liens à cliquer dans le mail, c'est déjà la fête au pays des pirates adeptes du fishing...

[gromeul]

Message reçu hier lors d'une connexion à Pages via iCloud .

[Chicken Mayo]

Hey, mais c'est MON courrier!

[Groumf29]

C'est une bonne chose même si cela interviendrait dans la plupart des cas après un piratage. Tout au plus cela évitera que des pirates puissent revenir une seconde fois.

Pansement sur une jambe de bois.

[Twisell]

C'est là le gros paradoxe, il faut faire quelque chose au risque de passer pour un immobile, mais que faire...

Ce courrier c’est clairement de la fausse bonne idée puisque c'est typiquement l'approche du phishing.
Normalement il ne devrait y avoir aucun lien dans le mail et on devrait demander au client de se connecter directement sur iCloud pour changer son mon de passe...

Pfff, là c'est tenter de rattraper un orage médiatique par une connerie flagrante.

Encore une fois là priorité numéro 1 c'est d'informer les masses, moins il y aura d'utilisateurs naifs, moins il y aura de risques!
Toute les autres approches sont faillibles.

Ce message a été modifié par Twisell - 9 Sep 2014, 10:39.

[Xdave]

Le phishing, c'était couru d'avance.
Remarquable quand on pense que cette histoire démarre par un exploit d'ingénierie sociale.

Grilled by Twisell

Et bien d'accord, mettre un lien dans ce mail est absurde.

Ce message a été modifié par Xdave - 9 Sep 2014, 11:53.

[scoch]

De mon côté, j'ai reçu cette tentative de phishing en provenance de [email protected] :



Le lien « vérifiez maintenant » pointe vers une pseudo page iTunes Connect :
http://grep.asso.fr/membre/98f3122cb583938...02351/index.php

Ce message a été modifié par scoch - 9 Sep 2014, 12:07.

[Lionel]

Encore une fois là priorité numéro 1 c'est d'informer les masses, moins il y aura d'utilisateurs naifs, moins il y aura de risques!
Toute les autres approches sont faillibles.

Mais Apple fait le travail inverse depuis 30 ans, faciliter l'informatique jusqu'à faire oublier tout ce qui est derrière. C'est bien, même fabuleux mais on fabrique des gens incapables de comprendre quoi que ce soit aux choses qu'ils utilisent.

[Twisell]

Encore une fois là priorité numéro 1 c'est d'informer les masses, moins il y aura d'utilisateurs naifs, moins il y aura de risques!
Toute les autres approches sont faillibles.

Mais Apple fait le travail inverse depuis 30 ans, faciliter l'informatique jusqu'à faire oublier tout ce qui est derrière. C'est bien, même fabuleux mais on fabrique des gens incapables de comprendre quoi que ce soit aux choses qu'ils utilisent.

C'est rigolo comme on peut parfois avoir des avis aussi diamétralement opposés

Moi ce que je vois au contraire c'est que de grands efforts, sans doute jamais assez, sont fait par Apple pour rendre l'utilisation de fonctions avancées très accessibles et surtout pratiques.
La sécurité fait pleinement partie de cette démarche : FileVault2, trousseau d'accès, FindMyPhone/Mac (pour le remote lock/swipe), TouchID, GateKeeper (jusqu'à preuve du complot contraire)

Et si tu prends la procédure d’installation d'un iPhone en partant de zéro sous iOS7, elle se décompose en une série de pas à pas. Suivie correctement elle permet d'avoir une configuration bien sécurisée. Même le degré de confiance que tu accordes à leur service est passé en revue (transmission diagnostics, localisation, cloud, find my phone). A chaque fois il y a possibilité de lire un article plus complet qui détaille les conséquence de chaque choix.

Si après l'utilisateur clique sans réfléchir sur le choix par défaut et choisi "PaswOrd1" comme mot de passe malgré toute les recommandations affichées ben à un moment, quand même, on peut difficilement dire que c'est la faute du fabricant...

D'où mon point de vue, on n'a jamais autant eu les possibilités de se protéger devant les yeux.
Il faut donc apprendre au gens à ouvrir les leurs, et partir du principe que personne ne le fera à leur place.

Ce message a été modifié par Twisell - 9 Sep 2014, 13:09.

[trouspinette]

Apple, et si vous lisez Macbidouille, optez pour une stratégie de sécurité du type Google Authenticator !

Offrez même la possibilité de n'autoriser des connexions que par double authentification stricte !

[Twisell]

Apple, et si vous lisez Macbidouille, optez pour une stratégie de sécurité du type Google Authenticator !

Offrez même la possibilité de n'autoriser des connexions que par double authentification stricte !

Globalement pour une stratégie de sécurité, n'utilisez pas les services Google...
Le jour ou ils arrêteront de placer des bout de code espions chez tout les sites partenaires c'est à dire (plus de 90% des sites ayants pignons sur rue) pour faire du tracking en continu, peut-être que je leur ferais confiance...

Ce message a été modifié par Twisell - 9 Sep 2014, 16:33.

[mocker]

Encore une fois là priorité numéro 1 c'est d'informer les masses, moins il y aura d'utilisateurs naifs, moins il y aura de risques!
Toute les autres approches sont faillibles.

Mais Apple fait le travail inverse depuis 30 ans, faciliter l'informatique jusqu'à faire oublier tout ce qui est derrière. C'est bien, même fabuleux mais on fabrique des gens incapables de comprendre quoi que ce soit aux choses qu'ils utilisent.

Euh… et donc il faudrait faire des choses plus compliquées, comme ça ils comprendront mieux ? Pas sûr de suivre la logique de tes réflexions. Pour moi ça sent un peu la nostalgie de l'élitisme Mac (l'époque où on pouvait carrément se faire engueuler par un inconnu quand on collait une pomme sur son casque de scooter, par exemple ). On était entre nous, quoi.