Les photos de dizaines de stars nues, dont Jennifer Lawrence, Selena Gomez et Kirsten Dunst, ont été publiées sur le forum anonyme 4Chan, ce dimanche 31 août. Quelques heures plus tard, elles affolaient Reddit et Twitter. Un message accompagnait le déversement d’images sur 4Chan : son auteur affirmait qu’il était en possession de photos et de vidéos privées d’une centaine de stars hollywoodiennes… à échanger contre monnaie virtuelle ou virement via Internet. La liste des victimes était également dévoilée, et, parmi elles Wynona Ryder et Kim Kardashian. Depuis, des stars ont porté plainte, le FBI est sur la brèche, et la Toile aussi mène l’enquête. Et les coupables sont sans grande surprise des hackers. D'ailleurs, ce week-end, pirater l'iCloud d'Apple où étaient stockées les photos privées des stars était un jeu d'enfant.
Les photos publiées ce dimanche 31 août proviennent d'un « cloud », littéralement un nuage de données électroniques - un espace de stockage de données - sauvegardées sur le net, et donc accessibles à leurs propriétaires de partout. Grâce à un simple mot de passe, le coupable ou plutôt les coupables de ce vol de données personnelles auraient eu accès aux photos stockées sur le « cloud » de célébrités américaines, notamment sur le site de stockage iCloud d’Apple.
« Craquer » un mot de passe est encore le moyen le plus simple d’avoir accès à un tel espace de stockage. Et si Apple a renforcé son système de sécurité la semaine passée, la plupart des comptes fonctionnent toujours avec un simple identifiant/mot de passe. Un programme informatique a permis à des hackers, et même aux moins expérimentés, de pirater l'iCloud d'Apple. Il a permis de casser l’accès à iCloud en employant la « force brute », un logiciel qui teste automatiquement tous les mots de passe possibles, grâce à une faille dans le service Find My iPhone d'Apple, pour la localisation des portables perdus.
Le programme est censé entrer une liste de mots de passe populaires jusqu’à trouver le bon, sans alerter les systèmes de défense et de blocage d’Apple, un peu comme si on braquait une banque sans que la sécurité ne s’en rende compte. Mais de son côté, Apple a laissé la porte ouverte ce week-end. Gérôme Billois, expert français en cyber-sécurité, explique : « Sur la partie du service destinée aux développeurs, mais accessible à tous en ligne, Apple n'avait pas verrouillé l'interface dans laquelle il faut entrer le mot de passe de son compte iCloud : le nombre d'essais était illimité, alors que le portail grand public d'Apple bloque après cinq tentatives erronées ». Cette faille aurait été réparée depuis, insiste Apple.
Dropbox plus facile à pirater que l’iCloud d’Apple ?
Certains clichés publiés sur 4Chan auraient aussi pu provenir du cloud Dropbox… Dropbox qui semble être encore plus facile à pirater que l’iCloud d’Apple, comme l’explique le Canadien William Reymond du Journal de Montréal, sur son blog. A plusieurs reprises, raconte-t-il, ces dernières années, il a été prouvé que de simples programmes pourraient y voler des fichiers et même y introduire des virus. En mai 2014, les déclarations d’impôts et les informations bancaires que plusieurs clients avaient stockées sur le cloud étaient d’ailleurs accessibles aux hackers à cause d’une faille du système de sécurité de Dropbox.
Dropbox avait été averti du problème en novembre 2013 et n’avait rien fait. Il avait fallu attendre 7 mois pour que la compagnie, sollicitée par la BBC, se décide à agir. Les vols des clichés privés de stars ont pu être réalisés à ce moment-là. Mais la possibilité d’une nouvelle faille ignorée ou cachée par Dropbox est aussi envisageable. Dropbox a effectué, à l’instar d’Apple, une mise à jour de ses services, la semaine dernière : l’accent était mis sur les nouvelles mesures de sécurité de son système de stockage sur le cloud. Mais ceci ne prouve, bien sûr, rien.
L'éditeur des photos s'était dit « collectionneur »
Sur le forum 4Chan, l'utilisateur à l'origine de la publication s'était dit être un « collectionneur » et non un hacker. Cette hypothèse, comme celle du piratage, avait agité la Toile depuis la publication des photographies. Selon ce scénario, un collectionneur de longue date aurait rassemblé les clichés des stars sur plusieurs mois ou années avant de les monnayer sur la Toile, ce dimanche. Et si le nouveau fichier de photographies publié ce lundi contenait quelques clichés inédits, la plupart étaient visibles depuis longtemps sur le web, comme le souligne dans ses tweets, William Reymond.
Le CelebGate aurait ainsi pu être le partage sur le net des dossiers d'un collectionneur s’étant procuré les photos via l'entourage direct des stars, des proches ou employés ayant accès physiquement aux appareils de celles-ci... un procédé aussi vieux qu’Hollywood, en somme, et son marché noir de la photographie intime. Sur 4Chan ou AnonIb, le collectionneur aurait alors acheté, vendu, échangé les nombreux fichiers partagés ces trois derniers jours… en vue de promouvoir sa collection et faire monter les enchères d’autres photographies. Un grand nombre des clichés publiés étaient aussi en vente sur AnonIb, le second marché noir de la collection de suggestives photos de femmes nues. Le partage public sur 4Chan aurait donc aussi pu être effectué pour casser la valeur marchande de certains clichés. On sait maintenant que cette hypothèse était erronée.
Si les spécialistes du web se sont amusés à suivre toutes les pistes possibles ces trois derniers jours, certains étaient convaincus de la faille d'Apple dès la publication des premières photographies. Ainsi Kirsten Dunst, l’une des célèbres victimes, ne doutait pas un seul instant de la faiblesse d’Apple. A peine les photos publiées dimanche, elle n’avait pas manqué de réagir non sans humour sur Twitter. « Thank you iCloud », [« Merci iCloud », NDLR], avait-elle lancé, ajoutant un smiley « part de pizza » et un smiley « petite bouse » à son message.
Les photos publiées ce dimanche 31 août proviennent d'un « cloud », littéralement un nuage de données électroniques - un espace de stockage de données - sauvegardées sur le net, et donc accessibles à leurs propriétaires de partout. Grâce à un simple mot de passe, le coupable ou plutôt les coupables de ce vol de données personnelles auraient eu accès aux photos stockées sur le « cloud » de célébrités américaines, notamment sur le site de stockage iCloud d’Apple.
« Craquer » un mot de passe est encore le moyen le plus simple d’avoir accès à un tel espace de stockage. Et si Apple a renforcé son système de sécurité la semaine passée, la plupart des comptes fonctionnent toujours avec un simple identifiant/mot de passe. Un programme informatique a permis à des hackers, et même aux moins expérimentés, de pirater l'iCloud d'Apple. Il a permis de casser l’accès à iCloud en employant la « force brute », un logiciel qui teste automatiquement tous les mots de passe possibles, grâce à une faille dans le service Find My iPhone d'Apple, pour la localisation des portables perdus.
Le programme est censé entrer une liste de mots de passe populaires jusqu’à trouver le bon, sans alerter les systèmes de défense et de blocage d’Apple, un peu comme si on braquait une banque sans que la sécurité ne s’en rende compte. Mais de son côté, Apple a laissé la porte ouverte ce week-end. Gérôme Billois, expert français en cyber-sécurité, explique : « Sur la partie du service destinée aux développeurs, mais accessible à tous en ligne, Apple n'avait pas verrouillé l'interface dans laquelle il faut entrer le mot de passe de son compte iCloud : le nombre d'essais était illimité, alors que le portail grand public d'Apple bloque après cinq tentatives erronées ». Cette faille aurait été réparée depuis, insiste Apple.
Dropbox plus facile à pirater que l’iCloud d’Apple ?
Certains clichés publiés sur 4Chan auraient aussi pu provenir du cloud Dropbox… Dropbox qui semble être encore plus facile à pirater que l’iCloud d’Apple, comme l’explique le Canadien William Reymond du Journal de Montréal, sur son blog. A plusieurs reprises, raconte-t-il, ces dernières années, il a été prouvé que de simples programmes pourraient y voler des fichiers et même y introduire des virus. En mai 2014, les déclarations d’impôts et les informations bancaires que plusieurs clients avaient stockées sur le cloud étaient d’ailleurs accessibles aux hackers à cause d’une faille du système de sécurité de Dropbox.
Dropbox avait été averti du problème en novembre 2013 et n’avait rien fait. Il avait fallu attendre 7 mois pour que la compagnie, sollicitée par la BBC, se décide à agir. Les vols des clichés privés de stars ont pu être réalisés à ce moment-là. Mais la possibilité d’une nouvelle faille ignorée ou cachée par Dropbox est aussi envisageable. Dropbox a effectué, à l’instar d’Apple, une mise à jour de ses services, la semaine dernière : l’accent était mis sur les nouvelles mesures de sécurité de son système de stockage sur le cloud. Mais ceci ne prouve, bien sûr, rien.
L'éditeur des photos s'était dit « collectionneur »
Sur le forum 4Chan, l'utilisateur à l'origine de la publication s'était dit être un « collectionneur » et non un hacker. Cette hypothèse, comme celle du piratage, avait agité la Toile depuis la publication des photographies. Selon ce scénario, un collectionneur de longue date aurait rassemblé les clichés des stars sur plusieurs mois ou années avant de les monnayer sur la Toile, ce dimanche. Et si le nouveau fichier de photographies publié ce lundi contenait quelques clichés inédits, la plupart étaient visibles depuis longtemps sur le web, comme le souligne dans ses tweets, William Reymond.
Le CelebGate aurait ainsi pu être le partage sur le net des dossiers d'un collectionneur s’étant procuré les photos via l'entourage direct des stars, des proches ou employés ayant accès physiquement aux appareils de celles-ci... un procédé aussi vieux qu’Hollywood, en somme, et son marché noir de la photographie intime. Sur 4Chan ou AnonIb, le collectionneur aurait alors acheté, vendu, échangé les nombreux fichiers partagés ces trois derniers jours… en vue de promouvoir sa collection et faire monter les enchères d’autres photographies. Un grand nombre des clichés publiés étaient aussi en vente sur AnonIb, le second marché noir de la collection de suggestives photos de femmes nues. Le partage public sur 4Chan aurait donc aussi pu être effectué pour casser la valeur marchande de certains clichés. On sait maintenant que cette hypothèse était erronée.
Si les spécialistes du web se sont amusés à suivre toutes les pistes possibles ces trois derniers jours, certains étaient convaincus de la faille d'Apple dès la publication des premières photographies. Ainsi Kirsten Dunst, l’une des célèbres victimes, ne doutait pas un seul instant de la faiblesse d’Apple. A peine les photos publiées dimanche, elle n’avait pas manqué de réagir non sans humour sur Twitter. « Thank you iCloud », [« Merci iCloud », NDLR], avait-elle lancé, ajoutant un smiley « part de pizza » et un smiley « petite bouse » à son message.