Il y a quelques semaines, ceux de Apple a mis en place un nouveau système de protection pour ID appleCEs, permettant aux détenteurs d'un identifiant Apple d'ajouter une nouvelle « couche » de sécurité pour leurs comptes iTunes, iCloud, etc. Vouloir vérifier à quel point ils sont vulnérables ID appleet les données de iCloud après la mise en place de ces mesures de sécurité, celles d'Elcomsoft ont commencé tester système et sommes malheureusement arrivés à la conclusion que nos sauvegardes iCloud restent non protégées.
Dans sa mise en œuvre actuelle, l'authentification à deux facteurs d'Apple n'empêche personne de restaurer une sauvegarde iOS sur un nouvel appareil (non fiable). De plus, et c'est bien plus problématique, la mise en œuvre d'Apple ne s'applique pas aux sauvegardes iCloud, permettant à toute personne connaissant l'identifiant Apple et le mot de passe de l'utilisateur de télécharger et d'accéder aux informations stockées dans iCloud. C’est facile à vérifier ; Connectez-vous simplement à votre compte iCloud et vous aurez des informations complètes sur tout ce qui y est stocké sans qu'aucune information de connexion supplémentaire ne vous soit demandée.
En pratique, Apple protège désormais les utilisateurs contre les achats effectués sur des terminaux qui n'ont pas été vérifiés par l'entreprise, en leur demandant de saisir des données de sécurité lors de l'achat, mais il n'en va pas de même dans le cas iCloud. Si une personne connaissant notre nom d'utilisateur et notre mot de passe souhaite installer une sauvegarde sur un terminal qu'Apple n'a pas vérifié, rien ne l'empêche de le faire, puisque iCloud ne dispose pas des mêmes mesures de sécurité pour nous protéger.
De l'avis d'ElcomSoft, ce n'est tout simplement pas la bonne façon de procéder du point de vue de la sécurité. iCloud a été exploité dans le passé (voir Des adolescents norvégiens piratent des comptes iCloud) et le sera à l'avenir. Pour moi, l'histoire ici concerne Apple proposant une solution 2FA [authentification à deux facteurs] qui n'ajoute pas vraiment beaucoup de sécurité supplémentaire pour vous (fichiers, documents, etc.), mais qui les protège (ainsi que vous) des transactions financières non autorisées et modifications apportées à votre compte.
L'idée de ne pas implémenter ce système de sécurité compliqué pourrait être basée sur le fait que les utilisateurs ne sont pas vraiment enthousiasmés par l'idée de devoir saisir des mots de passe pour des questions secrètes à chaque fois qu'ils se connectent à un nouveau terminal. Le système d'authentification en deux étapes est complexe, il protège les utilisateurs, mais il peut devenir un problème d'utilisation, et Apple a peut-être pris la décision de ne pas le mettre en œuvre précisément pour faciliter l'interaction des utilisateurs avec iCloud.
Quelle que soit la motivation d'Apple, il est peu probable que le système ne soit pas également implémenté dans iCloud, d'autant plus que bientôt tout le monde commencera à pleurer son absence.
