Apple a corrigé une faille iCloud qui permettait de consulter en douce des informations confidentielles

En novembre dernier, Apple apportait un correctif du côté des serveurs iCloud afin de boucher une faille de sécurité. Cette vulnérabilité permettait à un malandrin de jeter un œil indiscret sur des informations confidentielles d’un utilisateur iCloud, comme ses notes par exemple. Apple n’a pas voulu communiquer à Hacker News l’ampleur de cette faille, pour laquelle le chercheur en sécurité Melih Sevim a donné davantage de précisions.

En fait, ce chercheur a découvert cette brèche en octobre dernier et a prévenu Apple de son existence mi-novembre. « Supposons que le numéro de téléphone du compte abc@icloud.com est 12345 ; quand je saisis ce numéro sur mon compte Apple ID xyz@icloud.com, je peux voir les données d’abc avec le compte xyz », décrit-il au site. Il fournit aussi une vidéo d’exploitation de la faille :

La faille résidait dans la manière dont Apple lie un numéro de téléphone stocké dans une information de facturation d’un identifiant Apple à un compte iCloud qui... Lire la suite sur MacGeneration