Des petits malins sont parvenus à mettre à jour une très importante faille de sécurité sur l’un des sites Apple sur le web. Le problème est que le mode d’emploi pour exploiter cette faille a été publié sur internet et qu’elle permet de passer outre les mots de passe Apple ID.
Le site iForgot.apple.com responsable de la faille de sécurité
Généralement les failles de sécurité chez Apple se trouvent dans le système d’exploitation iOS, mais les pirates font toujours preuve de plus d’imagination pour dénicher des failles permettant de voler des données ou de faire des achats en ligne. Cette fois les hackers ont mis à jour une faille de sécurité sur le site iForgot.apple.com, la plateforme permettant de retrouver son mot de passe quand un utilisateur l’a oublié.
Les pirates étaient capables de solliciter un nouveau mot de passe et d’accéder aux comptes Apple comme l’iTunes Store par exemple. Pour cela, il suffisait de connaitre le mail et la date de naissance de la future victime pour entrer sur le compte Apple ID, en copiant collant une adresse URL modifiée, à la place de celle d’origine, ouvrant ainsi une porte pour tous les services Apple et aussi à toutes les données privées des utilisateurs.
Apple a bloqué le site responsable de la faille de sécurité
Un mode d’emploi publié sur internet a mis tous les services de chez Apple en alerte, qui ont pris immédiatement la décision de protéger leurs utilisateurs, en bloquant le site internet incriminé. La firme de Cupertino s’est exprimée en rappelant que la sécurité était le point le plus important sur lequel ils ne tergiverseront jamais. Quelques heures après la coupure du site iForgot.apple.com, le service a été remis en ligne après avoir fait des modifications pour corriger la faille.
Cette semaine Apple avait lancé un nouveau protocole d’authentification en deux étapes, avec l’envoie d’un message pour confirmer que l’utilisateur était bien le bon. Une preuve de plus que ce nouveau système est nécessaire pour optimiser la sécurisation des mots de passe et des données.
Dernière mise à jour le 21 août 2018