Apple n’a pas été piraté, mais 250 millions de ses utilisateurs sont bien menacés
Apple n’a pas été piraté, mais 250 millions de ses utilisateurs sont bien menacés |
Les données sur les utilisateurs Apple qu’affirme détenir la Turkish Crime Family ne proviennent pas d’une faille de sécurité de Cupertino. Mais d’une consolidation de données dérobées lors de différents piratages. 250 millions de comptes n’en sont pas moins menacés de réinitialisation.
Encore un dommage collatéral des piratages dont ont été victimes Yahoo, Linkedin et autres. On en sait en effet un peu plus sur la base de données renfermant des centaines de millions d’accès à des services Apple que le mystérieux groupe de hackers Turkish Crime Family affirme détenir. Rappelons que cette organisation inconnue jusqu’à récemment demande à Apple une rançon en crypto-monnaie (Bitcoin ou Ethereum) ou en cartes cadeaux iTunes, faute de quoi les comptes seraient réinitialisés.
Face à cette menace que les hackers disent vouloir mettre à exécution le 7 avril, Cupertino affirme ne pas être victime d’une faille de sécurité. Un point que confirment d’ailleurs les cybercriminels. Sur Pastebin, la Turkish Crime Family indique que la base de données qu’elle affirme détenir ne résulte en effet pas d’un piratage d’Apple. « Ils ont simplement annoncé ce que nous leur avions dit », se moquent les hackers, qui ajoutent que cela ne change rien à la situation des utilisateurs concernés. « Services tiers précédemment compromis »
En effet, selon la Turkish Crime Family, la base de données qu’elle affirme détenir « a été construite à partir de multiples bases de données que nous avons vendues au cours des 5 dernières années, comme nous avons décidé de conserver les adresses en icloud.com, me.com ou mac.com (ces deux dernières étant les anciennes adresses de messagerie d’Apple, NDLR), des domaines peu populaires parmi la communauté des crackers (soit des pirates mal intentionnés, NDLR) », écrit le groupe. Qui précise avoir désormais en sa possession 250 millions de comptes vérifiés pour lesquels il explique posséder un accès (login + mot de passe), sur un total de 750 millions de comptes associés à un service Apple. « Une faille de sécurité ne signifie rien en 2017 quand vous pouvez extraire la même information sur les utilisateurs, à des échelles moindres via des entreprises mal sécurisées », ajoutent les hackers. The Next Web a eu accès à un petit échantillon de données et confirme qu’au moins certains des couples login / mot de passe sont bien valides. Apple semble d’ailleurs avoir pris conscience du problème. Dans les colonnes de Fortune, la firme à la pomme indique, après avoir démenti toute faille dans iCloud ou son système d’authentification Apple ID : « la liste supposée d’adresses e-mail et de mots de passe semble avoir été obtenue de services tiers précédemment compromis ». Le risque n’en est pas moins tout aussi prégnant pour les utilisateurs des terminaux Apple. Dans une vidéo postée sur YouTube, la Turkish Crime Family montre ce qui ressemble à un accès non autorisé au compte iCloud d’une femme âgée, un accès qui ouvre la porte à l’effacement des photos sauvegardées et même à une réinitialisation du terminal associé. 637 500 comptes effacés par minuteC’est ce processus que le groupe de hackers menace d’automatiser, en créant un script permettant de réinitialiser un grand nombre de comptes simultanément. Dans son post sur Pastebin, la Turkish Crime Family affirme que, si ses développements sont conformes à ses plans, elle sera en mesure d’effacer le 7 avril – date de la fin de l’ultimatum – 150 comptes par minute et par script. En parallélisant les tâches sur 250 serveurs, et compte tenu du fait qu’un serveur serait en mesure de faire tourner 17 scripts simultanément, les cybercriminels seraient en mesure d’effacer 637 500 comptes par minute.
Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel. Par des actions d’expertises, d’audits, de formations et de sensibilisation dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84) Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles
|
Source : Apple n’a pas été piraté, mais 250 millions de ses utilisateurs sont bien menacés