Les suspicions qui portent sur le forum d'images AnonIB (hypothèse avancée notamment par @si dès lundi) dans l'affaire du vol et de la publication de centaines de photos de célébrités nues, se précisent. Une des rubriques de ce site, "/Stol/" (pour "Stolen", "volées"), est intégralement dédiée à l'échange, l'achat et la vente de photos volées, notamment de stars. Surtout, les voleurs affichent publiquement les méthodes qu'ils utilisent pour récupérer les identifiants puis le contenu des espaces de stockage des victimes, dont le service de sauvegarde en ligne d'Apple, iCloud.

Si Apple a nié mardi avoir constaté des failles de sécurité dans ses systèmes, certains experts estiment qu'une combinaison de logiciels permettrait bien d'accéder dans certaines conditions à la sauvegarde des données iPhone ou iPad d'une victime. Selon le hacker et consultant spécialiste de l'iPhone, Jonathan Zdziarski, interrogé par Wired, les données associées aux photos volées de Kate Upton par exemple, sont compatibles avec l'utilisation de deux logiciels : iBrute et EPPB.

Si le voleur n'arrive pas à deviner le mot de passe de la victime ou la réponse à sa question secrète (souvent la méthode la plus simple), le script iBrute permettrait de trouver les identifiants en testant une grande quantité de mots de passe potentiels (attaque par "force brute" ou à l'aide de dictionnaires de mots de passe). Une fois en possession de ces identifiants, les membres d'AnonIB peuvent télécharger l'ensemble de la sauvegarde de la victime sur le service iCloud, grâce au deuxième logiciel, EPPB (Elcomsoft Phone Password Breaker).

Comment se protéger de ces attaques ?

Ce logiciel EPPB, édité par la société russe Elcomsoft, se présente comme une solution à destination des forces de l'ordre et des services de renseignement. Problème : aucune preuve d'appartenance à ces services n'est demandée pour acheter EPPB (399$ ou disponible gratuitement sur des plateformes de téléchargement illégal). Certains utilisateurs d'AnonIB proposent ainsi d'utiliser EPPB pour le compte d'autres utilisateurs qui disposent d'identifiants de victimes, en espérant trouver quelques photos nues au passage. "Toujours gratuit, rapide et discret. Je peux récupérer pour vous les photos, textes, notes etc. sur n'importe quel iCloud !" peut-on ainsi lire sur /stol/.

Étant donnée l'ampleur de la publication de photos volées, Wired s'interroge sur le rôle d'Apple vis-à-vis de ces logiciels, notamment de la solution vendue par Elcomm Soft. Pour Zdziarski, EPPB ne "repose sur aucune faille sciemment laissée par Apple" mais plutôt sur une compréhension très précise des mécanismes utilisés par l'iPhone ou l'iPad. "Apple pourrait tout de même faire plus pour rendre ces solutions plus compliquées à mettre en place, voire impossible" estime Wired. En attendant, le meilleur (et seul ?) moyen de se prémunir contre ces attaques est d'utiliser des "phrases de passe", quasiment impossibles à trouver par un voleur, plutôt que des mots de passe. Pas de panique, @si vous explique en quoi ça consiste ici.

L'occasion de lire notre observatoire : Une fuite de photos de vedettes nues hystérise le Web.