Un logiciel permettait de pirater les comptes iCloud

iDict utilisait une faille du système d'Apple, qui permettait de tester des dizaines de mots de passe différents sans pour autant bloquer le compte.

Un logiciel diffusé largement sur Internet vendredi 2 janvier permettait de se connecter à des comptes iCloud mal protégés. iDict, c'est le nom du logiciel, permet de tester de se connecter à n'importe quel compte iCloud avec quelque 500 mots de passe génériques. Ce type d'attaque, en utilisant un dictionnaire de mots de passe, était en théorie bloquée par Apple qui avait mis en place un blocage des compte au bout de 3 tentatives infructueuses. Mais voila, iDict utilisait un bug dans ce mécanisme : il se faisait passer pour un iPhone et Apple n'appliquait pas la restriction aux requêtes venant (ou semblant venir) de ses propres téléphones. Il était donc possible pour le logiciel de faire de nombreux essais sans que le compte ne soit bloqué.

Heureusement, la liste de 500 mots de passe fournie avec le logiciel comportait uniquement des termes très génériques (P@ssw0rd, Princess1, Iloveyou1, Pa55word, Sunshine1, Blessed1, Password2, Spongebob1, Computer1, Metallica1, Whatever1, Gangsta1, Tiger123, Yankees1, Pickes1, Password1!, Taylor13, Jesus1st, Bigdaddy1, ...), vous n'avez donc pas de crainte à avoir concernant votre compte si votre mot de passe était plus complexe. En revanche, il était possible pour n'importe quel développeur de modifier la liste et d'en utiliser une plus complexe afin de viser un compte particulier.

La faille aurait été corrigée par Apple pendant le week-end. Reste à savoir si des pirates malveillants n'ont pas réussi à s'en servir pour viser le compte d'une ou plusieurs célébrités, ce qui ne sera connu que si des photos ou autres mails compromettants sont rendus publics dans les jours à venir...

Faille / Bug