Il va de soi que lorsqu’une bonne portion d’Hollywood utilise vos services, votre entreprise est en partie responsable lorsque les choses tournent mal. Apple aura beau répéter qu’elle n’a pas été victime d’une cyberattaque massive, mais bien d’une cyberintrusion ciblant spécifiquement les comptes de certains de ses utilisateurs, elle doit tout de même s’assurer que la situation ne se reproduise plus.
Selon Tim Cook, les pirates ont obtenu l’accès aux comptes en répondant correctement aux questions de sécurité établies au préalable par les victimes, ou par le biais d’une tactique d’hameçonnage visant à obtenir leur mot de passe.
Lors d’une première entrevue sur le sujet, Tim Cook a déclaré au Wall Street Journal que des pirates ont obtenu l’accès aux comptes des célébrités concernées de deux façons : en répondant correctement aux questions de sécurité établies au préalable par les victimes, ou par le biais d’une tactique d’hameçonnage perpétrée auprès des victimes afin d’obtenir leur mot de passe.
Tel que l’a déclaré plus tôt cette semaine Apple, aucune information relative à l’authentification des utilisateurs d’iCloud n’aurait été divulguée par ses serveurs.
Afin de mieux informer ses utilisateurs, une alerte sera bientôt envoyée à ceux-ci lorsque quelqu’un tente de récupérer leurs données iCloud à partir d’un appareil inconnu.
Actuellement, les utilisateurs reçoivent un courriel seulement lors de changements de mot de passe ou lorsqu’un nouvel appareil se connecte une première fois à leur compte.
D’ici deux semaines, ce type d’alerte sera transmis par courriel et par notifications en mode push aux appareils connectés au compte en question.
Mea culpa de la part d’Apple
«Lorsque je prends du recul devant ce terrible scénario et me demande ce que nous aurions pu faire de plus, je crois qu’il y a matière à une meilleure sensibilisation», raconte Cook. «Je crois que notre responsabilité est d’améliorer cet aspect. Ce n’est pas vraiment une question d’ingénierie.»
Devant les critiques qui accusent Apple de ne pas mettre l’accent sur la sécurité de ses produits et services, le PDG rappelle que sa société fait sa part à ce niveau, notamment avec le Touch ID – le lecteur d’empreintes digitales intégré à l’iPhone 5s.
Il souligne également la possibilité d’activer l’authentification avec validation en deux étapes, une mesure de sécurité forçant l’utilisateur à fournir à la fois un mot de passe et un code secret variable transmis sur un autre appareil au moment de la connexion ou une clé complexe déterminée lors de l’inscription au service.
En ce qui concerne l’incident surnommé le CelebGate, Apple a déclaré qu’elle continuait de travailler en collaboration avec les forces de l’ordre. «Nous souhaitons faire tout ce que nous pouvons pour protéger nos utilisateurs, puisque nous sommes tout aussi outrés qu’ils le sont, si ce n’est pas plus», conclut-il.
Certains analystes demeurent sceptiques
«Il existe une tension évidente entre la convivialité et la sécurité», a souligné Ashkan Soltani, chercheur en sécurité informatique. «La plupart du temps, Apple préfère miser sur la facilité d’utilisation afin d’aider celui qui ne parvient pas à accéder aux photos de ses enfants plutôt que d’employer des mesures de sécurité visant à mieux protéger les personnes plus à risque d’être piratées.»
Selon lui, les alertes qui seront transmises lorsqu’un intrus tente de récupérer des données iCloud «fera peu pour protéger efficacement l’information des consommateurs, puisque l’alerte ne survient qu’une fois que le mal est fait.»
