D'après Phonandroid, iCloud serait victime d'une faille de sécurité. C'est le chercheur Laxman Muthiyah qui l'aurait repéré.


Laxman Muthiyah, chercheur en cybersécurité, aurait découvert une faille de sécurité critique qui toucherait la fonctionnalité de modification de mot de passe. Si le pirate souhaite arriver à ses fins (en utilisant la méthode bruteforce), il doit connaître le numéro de téléphone ou l’adresse mail de sa victime, puis deviner le code à 6 chiffres envoyés par Apple à la suite de la demande de réinitialisation de mot de passe.

Apple a cependant prévu le coup et empêche toute tentative en limitant le nombre d’essais à 5. De plus, le nombre de requêtes à partir de la même adresse IP ne peut pas excéder 6. Enfin, il faut savoir qu'Apple bloque aussi toutes les requêtes provenant d’un service de cloud comme Amazon Web Services et Google Cloud.


Mais d'après Phonandroid, Laxman Muthiyah aurait découvert que tous les services cloud ne sont pas bloqués, ce qui ouvre la porte aux tentatives de bruteforce. « Nous devons d’abord contourner le code à 6 chiffres du SMS puis le code à 6 chiffres reçu dans l’adresse e-mail », indique le chercheur. « Les deux contournements sont basés sur la même méthode et le même environnement, nous n’avons donc pas besoin de changer quoi que ce soit lorsque nous essayons le deuxième contournement ». Laxman souligne aussi que même l’authentification à deux facteurs ne peut pas lutter contre cette faille de sécurité. À noter tout de même que cette attaque n'est pas facile à mettre en place.

Le chercheur a donc immédiatement prévenu Apple de la vulnérabilité en juillet 2020. La vulnérabilité aurait été corrigé quant à elle par Apple, en avril 2021.


Source : Phonandroid


x

   RECHERCHER