Des chercheurs en sécurité alertent Apple sur des failles dans le trousseau iCloud

icloud drive iconeDepuis plusieurs années, Apple vous propose de regrouper la totalité de vos identifiants et mot de passe dans le "Trousseau iCloud", un gestionnaire de mot de passe unique qui synchronise l'ensemble de vos mots de passe sur presque tous vos appareils Apple. Depuis l'arrivée d'iOS 17 et macOS Sonoma, le Trousseau iCloud aurait deux failles qui ont été remontées par des chercheurs en sécurité.

Apple devrait réagir rapidement

Une récente mise à jour des systèmes iOS 17 et macOS Sonoma d'Apple pourrait avoir introduit des vulnérabilités dans le trousseau iCloud, selon des experts en cybersécurité. Ces failles potentiellement graves pourraient compromettre la confidentialité et la sécurité des informations stockées par les utilisateurs dans le trousseau iCloud.

Faille 1 : Activation involontaire du trousseau iCloud

Des utilisateurs ont signalé que malgré le cryptage intégral d'iCloud, le trousseau s'activait involontairement sur leurs appareils. Cette situation préoccupante a été mise en lumière par l'équipe de sécurité Mysk, qui a souligné que lors de la transition vers iOS 17, iPadOS 17 ou macOS Sonoma, la fonctionnalité "Mot de passe et trousseau" pourrait s'activer automatiquement et sans l'intervention explicite de l'utilisateur.

Étonnamment, tous les comptes iCloud ne semblent pas être affectés par cette anomalie. Les raisons pour lesquelles certains comptes sont touchés et d'autres non demeurent un mystère. Néanmoins, à la lumière de cette découverte, il est vivement recommandé aux utilisateurs de vérifier et de contrôler leurs paramètres iCloud après toute mise à niveau.

trousseau icloud

La désactivation du trousseau iCloud peut ne pas supprimer totalement les données sur le cloud

Un autre souci majeur réside dans le fait que, même après la désactivation du trousseau iCloud, celui-ci pourrait toujours être gardé sur les serveurs d'Apple. La firme de Cupertino elle-même fournit des indications sur cette situation : lorsqu'un utilisateur se déconnecte d'iCloud avec le trousseau activé, il a le choix de conserver ou d'effacer les données associées. Si l'utilisateur choisit de les garder, les données sont stockées localement sur l'appareil, sans mise à jour ultérieure si des modifications sont effectuées sur d'autres dispositifs. Si, en revanche, il choisit de ne pas les conserver, une version chiffrée de ces données demeure sur iCloud, bien qu'inaccessible sur l'appareil de l'utilisateur. Il était auparavant possible de demander explicitement la suppression de ces données sur iCloud, mais ce n'est plus le cas.

Cette seconde faille pourrait être en lien avec la nouvelle fonctionnalité "mots de passe de famille" d'Apple. Celle-ci permet de partager des mots de passe avec des tiers.

Pour l'instant, Apple n'a pas encore réagi à ces découvertes des chercheurs en sécurité, toutefois, l'entreprise est globalement réactive dès qu'il s'agit de boucher les failles de sécurité.

1 réaction

Soldat inconu - iPhone

Je ne pense avoir eu ce problème, quoi que … mais un autre ça m’a demandé ma clé de secours qui elle est normalement dans le clous. Mon appareil n’y a pas eu accès.
Manuellement elle a été refusé, j’ai dû passer par changer ma clé de secours et ça a été bon.

27/09/2023 à 19h12

Donnez votre avis
Cliquez pour commenter
Vous aimerez peut-être

Suivez-nous avec notre app iSoft
Articles populaires
Les derniers articles