iCloud

iCloud: un bug aurait été passé sous silence par Apple

Il semblerait que l’iCloud d’Apple ait souffert d’un bug qui permettait à n’importe qui d’accéder à vos données personnelles. Ce bug aurait été découvert l’année dernière et Apple aurait décidé de garder cet incident secret.

Un chercheur en sécurité turc nommé Melih Sevim prétend avoir découvert une faille dans les services d’Apple qui permet de voir des données partielles, spécialement des notes, de comptes iCloud. La condition requise pour exploiter cette faille serait de connaitre le numéro de téléphone associé au compte.

Melih a confirmé avoir découvert ce bug en Octobre 2018. Il a alerté l’équipe de sécurité d’Apple.

Après avoir patché le problème en Novembre 2018, Apple a répondu à Melih en disant qu’ils avaient déjà régler le problème avant de recevoir son email.

Un Bug Mysterieux dans l’iCloud

En se basant sur les explications de Melih, la vulnérabilité se trouvait dans la façon dont Apple gérait le lien entre le numéro de téléphone, l’Apple ID et le compte iCloud de l’utilisateur.

iCloud

Selon Melih, après avoir suivi quelques étapes sur son iPhone et enregistrer un nouveau numéro de téléphone lié à un autre Apple ID dans les paramètres de son smartphone, il a été capable de voir des données partielles du compte iCloud associé à ce numéro.

Par exemple si le numéro de téléphone de abc@icloud.com est 12345 et que j’entre le numéro 12345 sur mon compte xyz@icloud.com, je peux voir les données de abc@icloud.com sur mon compte.

Vu que la vulnérabilité se trouvait côté serveur, Apple a pu patché le problème en secret sans sortir de mise à jour iOS.

Apple Admet l’Existence du Bug, Mais…

Apple admet avoir reçu le rapport de bug report, et déclare « le problème a été corrigé en Novembre, » mais ils ne donnent aucune autre information. Combien de temps le bug était-il présent? Combien d’utilisateurs ont été affecté? Est-ce que la vulnérabilité a été exploité?

Un peu bizarre mais pas nouveau…

Hier, Apple a temporairement bloquer l’accès au service Group FaceTime après que le bug Facetime ait été divulgué.

Nous avons appris plus tard que Apple avait été notifié du bug par un garçon de 14 ans une semaine avant que l’information ne soit relayé par les médias et qu’ils décident finalement d’agir.

Laisser un commentaire