Apple bloque la remise à zéro des mots de passe après la découverte d'une grosse faille

HIGH-TECH Il était possible de prendre le contrôle d'un compte simplement en connaissant l'email et la date de naissance de son propriétaire...

P.B.

— 

L'interface d'iTunes 11.
L'interface d'iTunes 11. — DR

Ce n'est pas nouveau: la plus grosse vulnérabilité d'un mot de passe se situe au niveau de sa remise à zéro et des questions de sécurité. Vendredi, une faille sur les comptes iTunes/iCloud a été découverte et a permis, pendant plusieurs heures, d'opérer un reset du mot de passe en rentrant l'adresse email et la date de naissance du propriétaire. Suite à un article du site The Verge, Apple a désactivé la page «J'ai oublié mon mot de passe». L'entreprise a indiqué que ses équipes étaient au travail pour régler le problème.

Le bug nécessitait d'utiliser une chaîne de caractères court-circuitant les questions de sécurité. Une fois l'email et la date de naissance rentrés, le pirate pouvait changer le mot de passe directement et ainsi accéder aux comptes iTunes/iCloud/email de sa victime.

Impératif d'activer l’authentification en deux étapes

L'ironie de l'affaire, c'est que depuis jeudi, Apple propose enfin une identification en deux étapes dans certains pays anglo-saxons (la France, elle, doit patienter). Une fois activée (ici), se connecter à son compte se fait en deux étapes: après avoir rentré son mot de passe, il faut taper un code à quatre chiffre unique envoyé sur son téléphone portable.

Si ce système n'est pas parfait, il est pour l'instant ce qui se fait de mieux en matière de sécurité: un code est demandé lors de la première connexion depuis chaque nouvelle machine (smartphone, PC, tablette). Même si un hacker a dérobé votre mot de passe, il ne peut rien faire sans l'accès à votre téléphone. Le système existe déjà pour Google/Gmail (ici) et Facebook ().