Ondrej Holzman Début septembre, Apple a résolu un problème très désagréable avec la fuite de photos sensibles à partir des comptes iCloud de célébrités célèbres. Nébyla bien que le service en tant que tel soit défectueux, Apple était capable d'éviter la vulnérabilité sous la forme de la possibilité de saisir le mot de passe un nombre infini de fois. Il suffit d’écouter Ibrahim Balic, expert en sécurité basé à Londres.
Balic, chercheur en sécurité basé à Londres, a informé Apple du problème potentiel bien avant que les pirates ne découvrent la faiblesse d'iCloud. ils ont profité de. Emballeur selon le Daily Dot Apple l'a informé en mars et a décrit précisément le problème de sécurité dans son e-mail.
Dans un e-mail du 26 mars adressé aux employés d'Apple, Balic a écrit :
J'ai trouvé un nouveau problème lié aux comptes Apple. En utilisant une attaque par force brute, je peux essayer plus de vingt mille fois de saisir des mots de passe sur n'importe quel compte. Je pense qu'une limitation devrait être appliquée ici. Je joins une capture d'écran. J'ai trouvé le même problème sur Google et j'ai obtenu une réponse de leur part.
C'est précisément en saisissant des mots de passe à l'infini, grâce auquel les pirates ont finalement trouvé les mots de passe de personnalités célèbres, apparemment ils se sont introduits dans les comptes iCloud. Un employé d'Apple a répondu à Balic qu'il était au courant de l'information et l'en a remercié. En plus du courrier électronique, Balic a également signalé le problème via une page spéciale dédiée au signalement des erreurs.
Apple a finalement répondu en mai, écrivant à Balic : « Sur la base des informations que vous avez fournies, il semble qu'il faudrait énormément de temps pour trouver un jeton d'authentification fonctionnel pour le compte. Pensez-vous connaître une méthode qui pourrait donner accès au compte dans un délai raisonnable ?
L'ingénieur en sécurité d'Apple, Brandon, n'a apparemment pas considéré la découverte de Balic comme une menace. "Je pense qu'ils n'ont pas complètement résolu le problème. Ils n'arrêtaient pas de me dire de leur en montrer davantage", a déclaré Balic.
Il est intéressant de noter qu'après une rupture, il pourrait être réparé une ou deux fois.
Il y a juste des gens arrogants chez Apple qui pensent qu'ils sont quelque chose de plus que les autres.
Donc surtout, la personne qui définit le mot de passe 12345 est stupide, je ne le diaboliserais pas. Apple bloque le compte après avoir saisi une deuxième fois un mot de passe erroné, ce qui signifie qu'il est toujours déconnecté.
Cela ne fait pas si longtemps qu'une certaine banque (je pense que FIO) a eu un problème similaire. Le nom de connexion du client était une séquence de chiffres, et après avoir saisi le mot de passe pour la troisième fois, le compte a été bloqué et le client a dû se rendre à la banque pour le réinitialiser. Eh bien, qu'est-ce qui ne s'est pas produit ? Quelqu'un a juste analysé les chiffres et bloqué les comptes de tout le monde.
Quelque chose de similaire peut arriver à Apple. Quelqu'un leur fera preuve de beaucoup de respect et les bloquera. Alors, à quel point la réinitialisation du mot de passe iCloud est-elle ennuyeuse ?
OMI, c'est une fonctionnalité destinée à protéger les idiots, cela ennuie simplement les autres.
À mon avis, il existe 2 solutions raisonnables :
1. ne pas permettre aux utilisateurs d'utiliser des mots de passe simples et laisser un nombre infini de tentatives d'entrée.
2. après la xième saisie d'un mot de passe erroné, proposer à l'utilisateur soit une autorisation via téléphone mobile, e-mail, réinitialisation du mot de passe iCloud OU attendre x heures jusqu'à la prochaine tentative, et dans ce cadre, avertir l'utilisateur et Apple de plusieurs erreurs mots de passe saisis.
Il n’était certainement pas juste de tout laisser faire, de permettre aux utilisateurs d’utiliser des mots de passe simples et de permettre un nombre infini de tentatives pour les saisir. Il est clair que les gens eux-mêmes sont responsables, mais l’entreprise doit accepter que les gens sont stupides.
La sécurité était vraiment à un niveau très médiocre. Tout comme vous devez vous protéger des pirates informatiques, car quelqu'un peut toujours attaquer, vous devez également vous protéger des utilisateurs stupides, car il y en aura toujours.
Par exemple, la deuxième solution conduirait au fait que si quelqu'un essayait des mots de passe et bloquait des comptes, ses services cesseraient de fonctionner pour les utilisateurs concernés. Pas de synchronisation avec iCloud. Pensez-vous que c'est mieux ? Pour des systèmes aussi grands, il n’existe pratiquement pas de solution parfaite, mais seulement la moins problématique.
Apple a le nez en l'air et tout tourne autour d'iMoney.
Ici, pour changer, je vais réparer le bash.
Si Jobs avait l'opportunité de revenir dans le monde, la première chose qu'il ferait serait de licencier au moins la moitié de la direction d'Apple, il n'y aurait probablement plus personne du tout dans cette direction, car ce que fait cette fille dans cette entreprise, ça y est, c'est vraiment un sommet, et comme je l'ai dit, même une personne comme Jobs avait très tort là-bas :-( Jobs a déjà été licencié d'Apple une fois dans sa vie et ça s'est vraiment mal passé, et quand il est revenu, Apple a encore travaillé, mais hélas, ils ne reviendront pas maintenant, c'est vraiment la faute de la personne qui se tiendra au-dessus d'eux, les frappera à la tête et leur coupera les mains.