Faille de Dropbox ou iCloud, comment les photos de stars ont-elles pu se retrouver sur Internet ?

Faille de Dropbox ou iCloud, comment les photos de stars ont-elles pu se retrouver sur Internet ?

SÉCURITÉ – Elles ont fait le tour du Web et des réseaux sociaux. Les photos dénudées de Jennifer Lawrence, Kirsten Dunst et de dizaines d'autres stars ont fuité sur le Web, mises en ligne par un hacker. Mais comment a-t-il procédé ? Explications.

Mise à jour : Apple a depuis ouvert une enquête interne pour déterminer si la fuite provient bien de son service iCloud. Une deuxième faille est également suspectée.

Article original : Retrouver des photos de sa vie intime publiées sur une multitude de sites Internet. C'est la mésaventure qui est arrivée à Jennifer Lawrence, Bar Rafaeli, Kate Upton, Kirsten Dunst ou encore Selena Gomez lors de ce dernier week-end d'août. D'après les premières pistes, ces photos – qui concerneraient pas moins de 98 célébrités – proviendraient de leurs comptes personnels de stockage de documents dans le cloud. Mais comment cela est-il possible ?

Pour le comprendre, il faut tout d'abord retracer l'histoire et tenter de distinguer l'info de l'intox. C'est notamment ce qu'a tenté de résumer le journaliste William Reymond . Dans la journée du dimanche 31 août, une série de posts ont été publiés sur le forum américain 4chan. Comme toujours sur ce site communautaire, les publications étaient anonymes. Elles ont rapidement été reprises sur d'autres sites, comme Reddit, et même sur le réseau social Twitter (ce dernier fait d'ailleurs la chasse aux comptes qui partagent ces photos).

Une faille de Dropbox…

Étant donné l'aspect massif de la fuite, il est pratiquement impossible d'imaginer qu'elle vienne du piratage individuel des appareils (ordinateurs, tablettes, smartphones, etc.) de chacune des personnalités. Au milieu des photos personnelles publiées se trouvent tout d'abord des documents PDF émanant de Dropbox. Ils sont inclus par défaut dans l'espace de stockage de chaque client pour lui expliquer le fonctionnement du système lors de la première utilisation.

Parmi les captures d'écran des listes d'images se trouvent également des liens vers Dropbox. Des indices qui laissent à penser que les documents proviennent de ce service de cloud américain. Par le passé, Dropbox a régulièrement été montré du doigt pour les approximations concernant la sécurité de son service. Une faille datant de novembre 2013 n'avait par exemple été corrigée que sept mois plus tard, en mai 2014 , suite à une sollicitation de la BBC.

... ou d'iCloud

Le service de stockage en ligne d'Apple est également pointé du doigt. Une faille, bizarrement corrigée par Apple depuis l'affaire, permettait au pirate de forcer un compte iCloud en le bombardant de mots de passe au hasard avec l'espoir de tomber sur le bon. Selon le site américain The Next Web , aucune limitation du nombre d'essais n'avait été mise en place jusqu'à présent lorsque l'on appliquait cette technique au service Find My Phone, permettant de retrouver un iPhone et donc lié au compte iCloud de l'utilisateur.

Depuis, le service ne permet plus que cinq essais différents avant de bloquer l'accès au compte, une limitation classique sur tous les sites nécessitant une identification. Une piste déterminée par les internautes fréquentant le site communautaire Reddit aurait d'ailleurs permis d'identifier le coupable présumé des fuites en recroisant les informations qu'il aurait laissées sur ses captures d'écran. En attendant la confirmation, Apple et Dropbox ont pour l'instant refusé de réagir sur le sujet.

Plus d'articles

Les tags

    En ce moment

    Rubriques