Apple a corrigé un problème qui aurait pu permettre à des attaquants de trouver les mots de passe Apple ID d'utilisateurs d'iCloud avec un outil capable de lancer des attaques par force brute. Le problème a été détecté début janvier après la publication sur GitHub d'un outil proof-of-concept dénommé iDict. Selon son auteur qui se cache derrière l'alias Pr0x13, l'outil « 100 % fonctionnel, permet d'attaquer l'iCloud Apple ID Dictionary en contournant les restrictions de verrouillage de compte et en trompant l'authentification secondaire de n'importe quel compte ». L'attaque consiste à tester un grand nombre de mots de passe sur des Apple ID ciblés pour deviner la bonne combinaison. Par défaut l'outil est livré avec un fichier - également appelé Dictionary - qui contient 500 mots de passe courants, mais la liste aurait pu être facilement étendue.

En général, les services en ligne comme iCloud limitent le nombre de tentatives de connexion infructueuses pour prévenir les attaques par force brute. Mais Pr0x13 aurait trouvé un moyen de contourner ces protections. Le développeur affirme qu'il a mis iDict dans le domaine public pour attirer l'attention sur ce problème et obliger Apple à le corriger. « Le bug était très facile à trouver et il aurait fallu peu de temps avant qu'il ne soit exploité par des personnes malveillantes », déclare-t-il dans la note accompagnant son outil. Apple a été relativement rapide à réagir. Dès le lendemain de la publication de iDict, le fournisseur a limité les tentatives de connexion réalisée avec l'outil. « iDict est patché », a prévenu Pr0x13 sur Twitter. « Cessez de l'utiliser si vous ne voulez pas verrouiller votre compte ».

Cette attaque intervient après le piratage, en septembre dernier, des comptes iCloud de plusieurs célébrités, dont Jennifer Lawrence, Kate Upton et Kirsten Dunst. Les pirates avaient volé des photos privées qu'ils avaient postées sur Internet. À l'époque, Apple avait déclaré qu'une attaque ciblée sur les noms d'utilisateur, mots de passe et questions de sécurité était à l'origine de ces intrusions et de ce vol de données. Juste après l'incident, Apple avait mis en oeuvre un système d'authentification à deux facteurs pour les comptes iCloud. D'ailleurs, le fournisseur invite à nouveau les utilisateurs à activer la fonction.