Le pirate informatique qui aurait réussi à s’emparer de centaines de photos sur les téléphones de personnalités publiques pourrait bien ne pas avoir utilisé un stratagème très sophistiqué pour réussir son coup.

Tristan Péloquin Tristan Péloquin
La Presse

La sommelière Jessica Harnois, une des victimes confirmées, a confié à La Presse qu’elle utilisait toujours la même adresse courriel Yahoo.ca comme identifiant ainsi que le même mot de passe et ce, depuis plusieurs années, pour se brancher à une multitude de sites, lorsqu’elle a découvert le pot aux roses.

« Oui, j’utilisais toujours le même mot de passe depuis longtemps, et je l’utilisais sur d’autres sites », a-t-elle expliqué.

Cette combinaison précise d’identifiant et de mot de passe était notamment utilisée par Mme Harnois pour accéder au service iCloud d’Apple, un « nuage » où sont stockés les photos et les courriels des utilisateurs d’iPhone. Elle se servait aussi de cette combinaison pour accéder à Netflix, Facebook et Instagram.

Une source policière a affirmé à La Presse vendredi que ce n’étaient pas les téléphones des victimes qui auraient été compromis, mais bien les comptes iCloud qui y étaient associés. Rien ne permet de croire, selon cette source, que le pirate aurait injecté un code malicieux dans les appareils, qu’il aurait copié les cartes SIM ou que des individus malicieux auraient fait fuiter de l’information qui aurait pu compromettre ces téléphones, comme l’avancent certains spécialistes.

En arrivant à pénétrer le compte iCloud – qui est en quelque sorte la clé de voûte de l’iPhone –, un pirate peut facilement voir le contenu de l’appareil de la victime, en se connectant sur le site iCloud.com. Il a alors accès à ses photos, à son carnet d’adresses, à son calendrier, à ses courriels et à ses « notes ».

Comme le compte iCloud sert aussi à synchroniser les photothèques et les courriels de l’utilisateur entre plusieurs de ses appareils Apple, un pirate qui le compromet peut aussi facilement activer un nouveau téléphone vierge avec l’identifiant de sa victime, et ainsi dupliquer en temps réel le contenu du téléphone piraté.

À aucun moment le pirate n’a eu accès aux fonctions d’appel téléphonique ou aux SMS des victimes, selon notre source policière.

« Plus on en sait sur ce qui s’est passé, plus les faits portent à croire qu’effectivement, le pirate a probablement eu accès au compte iCloud des victimes, dit le spécialiste en sécurité informatique Eric Lessard. Il a fait ce qu’on appelle dans le jargon un “iCloud swap”. »

La façon dont le pirate s’est procuré les identifiants et mots de passe des victimes reste un mystère pour l’instant. 

C’est à peu près à 95 % sûr que le pirate a eu accès quelque part sur le dark web à une base de données de mots de passe et d’identifiants.

Eric Lessard, spécialiste en sécurité informatique

Ces bases de données, vendues quelques dollars dans les pires recoins du web, contiennent typiquement des milliers de combinaisons d’identifiants et de mots de passe qui ne sont souvent plus à jour. Mais parfois, les pirates sont chanceux et arrivent à leur trouver une utilité. En juillet 2016, on trouvait par exemple sur le dark web une vaste banque de données de 200 millions comptes Yahoo compromis lors d’une brèche, qui incluaient les identifiants et les mots de passe des usagers, selon Vice et Business Insider.

« Si tu ne changes pas de mot de passe à intervalles réguliers, et que tu utilises le même mot de passe partout, tu te rends vulnérable à ce genre d’attaque. C’est comme laisser les portes de la maison débarrées, affirme M. Lessard. Ça devient un peu de la négligence. »

En 2014, c’est précisément ce type d’attaque qui avait permis à quatre pirates d’avoir accès aux photos personnelles de 240 personnes, dont les stars de Hollywood Jennifer Lawrence et Kate Upton. Les pirates avaient alors piégé les victimes en se faisant passer pour des employés du service de sécurité d’Apple, et avaient ainsi pu obtenir les identifiants et mots de passe de leurs comptes iCloud pour accéder à leurs photos. Ces pirates ont écopé de peines de huit mois de prison pour leur crime.

Mme Harnois affirme que lorsqu’elle a réalisé que son compte était compromis, un employé d’Apple en Californie lui a immédiatement fait changer son mot de passe « parce qu’il était vieux ».

Il lui a aussi fait activer une fonction gratuite qui s’appelle l’« identification à deux facteurs ». Une fois cette fonction activée, tout nouvel utilisateur qui se connecte au compte iCloud à partir d’un appareil non reconnu doit s’identifier au moyen d’un code de validation à six chiffres qui s’affiche automatiquement sur les appareils de confiance.

Cette solution, qui réduit considérablement les risques de piratage, n’a toutefois pas immédiatement fonctionné dans le cas de Mme Harnois. Selon ses explications, le pirate aurait aussi réussi à compromettre encore davantage son identité numérique en créant quatre fausses adresses de courriel Yahoo en son nom. Il pourrait les avoir liées au compte iCloud pour empêcher la victime d’en reprendre le plein contrôle.

Mme Harnois dit qu’elle gardait dans les « notes » de son téléphone un fichier contenant tous ses codes d’accès. Ce fichier a vraisemblablement été trouvé par le pirate, ce qui lui a permis de faire encore plus de dommages. 

La sommelière s’est rendu compte que le pirate utilisait son compte Netflix et croit qu’il a aussi eu accès à son compte Facebook. « C’est comme si je m’étais fait voler ma vie, dit-elle. Si j’accorde autant d’entrevues aujourd’hui sur cette question, c’est pour aider les gens à mieux se protéger », dit-elle.

— Avec la collaboration de Daniel Renaud, La Presse

Comment activer l’identification à deux facteurs

L’identification à deux facteurs assure qu’un compte iCloud est uniquement accessible à partir d’appareils de confiance. La fonction envoie un code de validation à six chiffres qui s’affiche automatiquement sur les appareils confirmés et avertit l’utilisateur si une personne tente d’accéder à son compte à distance.

Sous iOS 10.3

Accédez à Réglages > [votre nom] > Mot de passe et sécurité.

Touchez Activer l’identification à deux facteurs.

Touchez Continuer.

Saisissez le numéro de téléphone que vous souhaitez utiliser pour recevoir les codes de validation.

Source : Apple