Grosse faille de sécurité sur le site Apple ID
Il est temps d’activer la nouvelle procédure de vérification de l’identifiant Apple partout dans le monde. Ce système, lancé hier dans une poignée de langue anglaise, permet en effet d’éviter la nouvelle faille de sécurité qui frappe la connexion au site web d’Apple ID. Cette vulnérabilité autorise n’importe quel petit malin à hacker un compte, s’il possède l’adresse courriel de sa victime, ainsi que sa date de naissance. The Verge rapporte qu’un mode d’emploi traîne sur internet, expliquant en détail comment tirer parti de cette faille.
Depuis la page iForgot du site, il suffit de donner la date de naissance et de coller une URL modifiée afin d’accéder au compte de l’utilisateur cible. Cette manipulation ne demandant pas de compétences techniques particulières, n’importe qui peut accéder à un compte lambda pour y récupérer des informations sensibles, modifier le mot de passe, … S’il est toujours possible de modifier sa date de naissance, tous ceux qui n’ont pas accès au nouveau processus de vérification sont potentiellement vulnérables – une bonne partie du monde, donc.
Mise à jour – Prenant la menace très au sérieux, Apple a désactivé la page iForgot pour cause de maintenance.
