Des chercheurs en sécurité alertent Apple sur des failles dans le trousseau iCloud
- 👨 Julien Russo
- Il y a 1 an
- 💬 1 com
Apple devrait réagir rapidement
Une récente mise à jour des systèmes iOS 17 et macOS Sonoma d'Apple pourrait avoir introduit des vulnérabilités dans le trousseau iCloud, selon des experts en cybersécurité. Ces failles potentiellement graves pourraient compromettre la confidentialité et la sécurité des informations stockées par les utilisateurs dans le trousseau iCloud.
Faille 1 : Activation involontaire du trousseau iCloud
Des utilisateurs ont signalé que malgré le cryptage intégral d'iCloud, le trousseau s'activait involontairement sur leurs appareils. Cette situation préoccupante a été mise en lumière par l'équipe de sécurité Mysk, qui a souligné que lors de la transition vers iOS 17, iPadOS 17 ou macOS Sonoma, la fonctionnalité "Mot de passe et trousseau" pourrait s'activer automatiquement et sans l'intervention explicite de l'utilisateur.
Étonnamment, tous les comptes iCloud ne semblent pas être affectés par cette anomalie. Les raisons pour lesquelles certains comptes sont touchés et d'autres non demeurent un mystère. Néanmoins, à la lumière de cette découverte, il est vivement recommandé aux utilisateurs de vérifier et de contrôler leurs paramètres iCloud après toute mise à niveau.
La désactivation du trousseau iCloud peut ne pas supprimer totalement les données sur le cloud
Un autre souci majeur réside dans le fait que, même après la désactivation du trousseau iCloud, celui-ci pourrait toujours être gardé sur les serveurs d'Apple. La firme de Cupertino elle-même fournit des indications sur cette situation : lorsqu'un utilisateur se déconnecte d'iCloud avec le trousseau activé, il a le choix de conserver ou d'effacer les données associées. Si l'utilisateur choisit de les garder, les données sont stockées localement sur l'appareil, sans mise à jour ultérieure si des modifications sont effectuées sur d'autres dispositifs. Si, en revanche, il choisit de ne pas les conserver, une version chiffrée de ces données demeure sur iCloud, bien qu'inaccessible sur l'appareil de l'utilisateur. Il était auparavant possible de demander explicitement la suppression de ces données sur iCloud, mais ce n'est plus le cas.
Cette seconde faille pourrait être en lien avec la nouvelle fonctionnalité "mots de passe de famille" d'Apple. Celle-ci permet de partager des mots de passe avec des tiers.
Pour l'instant, Apple n'a pas encore réagi à ces découvertes des chercheurs en sécurité, toutefois, l'entreprise est globalement réactive dès qu'il s'agit de boucher les failles de sécurité.