MàJ : Une porte-parole d'Apple a indiqué à Re/code que " la vie privée de l'utilisateur est prise très au sérieux ". Elle a ajouté que cette affaire fait l'objet d'une " enquête active ". À ce stade, la firme à la pomme ne fait cependant pas de commentaires au sujet d'un éventuel problème en relation avec iCloud. Des experts en sécurité recommandent pour le part de ne pas hésiter à activer la validation en deux étapes.

-----

C'est une bien étrange coïncidence qui fait peser de forts soupçons sur une vulnérabilité affectant la fonction Localiser mon iPhone dans l'affaire des photos volées de célébrités. Des photos parfois osées que ces célébrités avaient sur leurs comptes iCloud.

Jennifer-Lawrence Peut-être ne le savaient-elles pas mais les photos prises avec l'iPhone sont automatiquement envoyées sur iCloud. Mais si vraiment elles doivent prendre une photo nue, il serait sans doute plus sage de ne pas les avoir sur son smartphone.

La fonction Localiser mon iPhone est intimement liée à iCloud. Au cours des derniers jours, une preuve de concept - un script Python - a été publiée sur GitHub. L'exploit tire parti du fait qu'il n'y a pas de protection contre les attaques par force brute dans l'API du service Localiser mon iPhone.

Ayant connaissance de cet exploit et en ciblant des adresses email qui pour le cas de célébrités ne sont pas toujours très difficiles à dénicher, un individu a potentiellement pu tester automatiquement une multitude de mots de passe plutôt basiques jusqu'à obtenir ce qu'il cherchait.

Selon ZDNet, Apple a corrigé ladite vulnérabilité aujourd'hui même. À ce stade, la responsabilité d'un tel exploit n'est cependant pas établie. Le cas échéant, il est surprenant que des tentatives sur un nombre de comptes non négligeable n'aient pas déclenché une détection.