Des chercheurs en sécurité alertent Apple sur des failles dans le trousseau iCloud
Julien Russo- Il y a 7 mois
- 💬 1 com
- 🔈 Écouter
Depuis plusieurs années, Apple vous propose de regrouper la totalité de vos identifiants et mot de passe dans le "Trousseau iCloud", un gestionnaire de mot de passe unique qui synchronise l'ensemble de vos mots de passe sur presque tous vos appareils Apple. Depuis l'arrivée d'iOS 17 et macOS Sonoma, le Trousseau iCloud aurait deux failles qui ont été remontées par des chercheurs en sécurité.
Apple devrait réagir rapidement
Une récente mise à jour des systèmes iOS 17 et macOS Sonoma d'Apple pourrait avoir introduit des vulnérabilités dans le trousseau iCloud, selon des experts en cybersécurité. Ces failles potentiellement graves pourraient compromettre la confidentialité et la sécurité des informations stockées par les utilisateurs dans le trousseau iCloud.
Faille 1 : Activation involontaire du trousseau iCloud
Des utilisateurs ont signalé que malgré le cryptage intégral d'iCloud, le trousseau s'activait involontairement sur leurs appareils. Cette situation préoccupante a été mise en lumière par l'équipe de sécurité Mysk, qui a souligné que lors de la transition vers iOS 17, iPadOS 17 ou macOS Sonoma, la fonctionnalité "Mot de passe et trousseau" pourrait s'activer automatiquement et sans l'intervention explicite de l'utilisateur.
Étonnamment, tous les comptes iCloud ne semblent pas être affectés par cette anomalie. Les raisons pour lesquelles certains comptes sont touchés et d'autres non demeurent un mystère. Néanmoins, à la lumière de cette découverte, il est vivement recommandé aux utilisateurs de vérifier et de contrôler leurs paramètres iCloud après toute mise à niveau.
La désactivation du trousseau iCloud peut ne pas supprimer totalement les données sur le cloud
Un autre souci majeur réside dans le fait que, même après la désactivation du trousseau iCloud, celui-ci pourrait toujours être gardé sur les serveurs d'Apple. La firme de Cupertino elle-même fournit des indications sur cette situation : lorsqu'un utilisateur se déconnecte d'iCloud avec le trousseau activé, il a le choix de conserver ou d'effacer les données associées. Si l'utilisateur choisit de les garder, les données sont stockées localement sur l'appareil, sans mise à jour ultérieure si des modifications sont effectuées sur d'autres dispositifs. Si, en revanche, il choisit de ne pas les conserver, une version chiffrée de ces données demeure sur iCloud, bien qu'inaccessible sur l'appareil de l'utilisateur. Il était auparavant possible de demander explicitement la suppression de ces données sur iCloud, mais ce n'est plus le cas.
Cette seconde faille pourrait être en lien avec la nouvelle fonctionnalité "mots de passe de famille" d'Apple. Celle-ci permet de partager des mots de passe avec des tiers.
Pour l'instant, Apple n'a pas encore réagi à ces découvertes des chercheurs en sécurité, toutefois, l'entreprise est globalement réactive dès qu'il s'agit de boucher les failles de sécurité.
iOS 17.3 et iPadOS 17.3 corrigent plusieurs failles de sécurité
iOS 16.5.1 : la mise à jour bouche deux failles de sécurité inquiétantes
L’armée sud-coréenne abandonne les iPhone pour des raisons de sécurité
La sécurité de Face ID mise en avant dans une pub pour l'iPhone 15 intitulée "Nice Try"
