Les scénarios qui expliquent la fuite des photos de stars dénudées

Faille d'Apple, piratage du WiFi des Emmy Awards, assistant malveillant…

Quelques jours après la fuite de photos intimes de nombreuses célébrités américaines, l'attention se porte désormais sur le procédé qui a mené à ce leak de grande ampleur.

Plusieurs théories sont déjà avancées, la première privilégiant l'exploitation d'une vulnérabilité d'une des applications d'Apple, qui aurait ensuite ouvert les portes de son service de stockage, l'iCloud.

Soupçonné depuis le départ en raison de la présence d'indices sur les images suggérant qu'elles proviennent bien de ses serveurs, Apple aurait en fait pâti de son application Find My iPhone, qui permet de retrouver, en cas de besoin, son appareil. A l'inverse d'autres services, Find My iPhone ne bloque pas la tentative de connexion après deux, ou trois erreurs de mots de passe. Elle autorise en effet un nombre illimité de tentatives de connexions au compte de l'utilisateur tentant (a priori du moins) de retrouver son appareil. Une faille exploitée par de simples lignes de codes qui constitue un procédé judicieusement intitulé «iBrute». Ars Technica en décrit le principe en ces termes:

«Cette attaque en force consistait à tester des combinaisons d'adresses mail et de mots de passe, extraits de deux fichiers de "dictionnaire" séparés. Cela suppose une connaissance (ou de bonnes intuitions) des adresses mails iCloud des cibles, ainsi qu'une énorme liste de mots de passe potentiels. [...] Une fois la manipulation réussie, l'attaquant peut alors se connecter à l'iCloud et récupérer des sauvegardes de l'iPhone, des images et d'autres données».

La vulnérabilité de Find My iPhone, ainsi que le code iBrute, avaient été signalés sur le site GitHub, très utilisé par les développeurs, il y a quelques jours à peine. Quelques heures après l'annonce de la fuite de photos, la personne à l'origine de ce script, un certain Hackapp, écrivait sur ce même site: «La fête est terminée! Apple a patché [réparé la faille]», rapporte The Next web.

S'il affirme sur son compte Twitter qu'une telle intrusion aurait pu être évitée avec un mot de passe solide, ce même Hackapp rappelle que rien ne prouve, pour le moment en tout cas, que la faille qu'il a détectée, ainsi que son bout de code, soient à l'origine de cette fuite massive de photos.

Pour Business Insider, s'il se confirme, le recours à iCloud n'est de toute façon qu'un pan de l'histoire. D'autres indices laissés sur les photos publiées laissent penser qu'elles proviennent en effet d'autres services de stockage (comme celui de Google, Drive, ou Dropbox), ou bien encore de Snapchat. L'application, très populaire du fait notamment du caractère prétendument éphémère des photos et des vidéos qui y sont postées, se faisait il y a quelques mois à peine taper sur les doigts par l'administration américaine pour avoir exagéré la sécurité de son système...

Business Insider, ainsi que Venture Beat, envisagent également la possibilité d'une fuite lancée par un proche des célébrités, tel qu'un assistant ayant accès à leurs différents comptes sur Internet... et donc à leurs photos diverses et variées.

Le vol de matériel n'est pas non plus exclu, bien qu'improbable vu la variété et la portée des fuites. Une autre théorie, digne d'un scénario à la Ocean's Eleven version braquage de données sur Internet, envisage «le piratage d'un groupe de célébrités ayant assisté à la récente cérémonie des Emmy Awards», poursuit Business Insider. C'est la connexion Wi-Fi de la salle qui aurait alors, selon ce scénario du moins, permis l'intrusion dans leur téléphone portable.

Toutes ces théories rappellent néanmoins deux choses: que ce n'est jamais de la faute d'Internet, de ses tuyaux et de ses serveurs puisqu'à chaque fois, le facteur humain est nécessaire. Et que le stockage en ligne, même vendu comme infaillible, imperméable, ultra-sécurisé ne peut jamais l'être à 100%, et nécessite donc à ce titre certaines précautions, telles que le choix d'un bon mot de passe, ou la sélection scrupuleuse des photos, vidéos, et documents qu'on décide de confier à un tiers.