Cela aurait bien pu ressembler au casse numérique d'Apple du siècle. Un groupe, dénommé Turkish Crime Family, a fait savoir mercredi être en possession de 627 millions d'identifiants de connexion composé en particulier d'adresses e-mails icloud.com, me.com et mac.com. Tous ces domaines de messagerie sont utilisés par les possesseurs de comptes iCloud. Même si le groupe Turkish Crime Family est inconnu des médias, ses membres affirment qu'ils sont impliqués depuis quelques années dans des filières underground pour revendre sur le marché parallèle des bases de données volées. Le groupe a déclaré par courriel qu'il détenait depuis un certain temps une base de données d'environ 519 millions d’identifiants iCloud, mais qu’il n'avait pas essayé de le vendre jusqu’ici. « Ces comptes ne valent pas grand-chose sur le marché noir en raison des mesures de sécurité mises en place par Apple ces dernières années », a-t-il expliqué.

Depuis qu’il a fait part de son intention d'effacer tous les terminaux associés aux comptes iCloud, le groupe a affirmé que d'autres pirates s’étaient manifestés et avaient échangé avec lui d’autres identifiants de compte. Selon les pirates du Turkish Crime Family, plus de 220 millions de ces informations d'identification ont été vérifiées et peuvent être utilisées pour accéder aux comptes iCloud dont les utilisateurs n’ont pas activé l'authentification à deux facteurs. « Les informations d'identification ont été testées à l’aide de scripts automatisés en passant par de multiples serveurs proxy pour éviter le blocage par Apple », ont précisé les pirates.

Une rançon en bitcoins passée de 75 000 à 150 000 dollars

Dans un premier temps, le groupe avait demandé à Apple l'équivalent de 75 000 dollars en Bitcoins ou en cryptomonnaie Etheréum. Mais ils ont ensuite augmenté la rançon à 150 000 dollars. Et le groupe a l'intention de demander plus encore si Apple n’honore pas leur demande sous trois jours. Le site d’informations Motherboard dit que dans les supposés courriels échangés entre les pirates et Apple, auxquels il affirme avoir eu accès, un membre de l'équipe de sécurité d’Apple a répondu que l'entreprise n'a pas l'intention de récompenser des cybercriminels qui violent la loi et que tous leurs échanges ont été archivés et transmis aux autorités. 

En l'absence de paiement, le groupe prévoit de lancer une attaque automatisée le 7 avril. Elle est censée leur permettre de s’introduire dans les comptes iCloud, d’effacer leur contenu et celui de tous les appareils associés à ces comptes. « Nous avons la capacité de mener cette opération. Nous voulons surtout attirer l’attention sur le sort de Karim Baratov et Kerem Albayrak, tous deux détenus pour le piratage de Yahoo et sur le fait que l'un d'entre eux risque probablement d’être condamné à de très lourdes peines aux États-Unis », a écrit un représentant du groupe par courriel. « Kerem Albayrak est également accusé d’avoir mis la base de données en vente sur les réseaux ».

Un groupe de pirates installé à Londres ?

Si l’on en croit le représentant de Turkish Crime Family, les membres du groupe sont originaires d'Istanbul, en Turquie, mais ils seraient aujourd’hui à Green Lanes, un quartier du nord de Londres. Karim Baratov, un ressortissant canadien, a été inculpé la semaine dernière pour avoir piraté les comptes de courrier électronique de divers fournisseurs de messagerie électronique à la demande de deux agents du FSB, le Service fédéral de sécurité de la Fédération de Russie. Le même acte d'accusation accuse les deux agents des services secrets russes et un pirate informatique russe de s’être introduits dans l'infrastructure de Yahoo et d'avoir eu accès à plus de 500 millions de comptes.

Pour prouver ses allégations, le groupe Turkish Crime Family a posté une vidéo sur YouTube montrant l’intrusion dans des comptes iCloud à l’aide de certains identifiants volés. Le groupe affirme que la personne qui a posté la vidéo n’est pas un de ses membres, mais qu’elle avait accès à l'un des serveurs qui hébergeaient leur base de données. C'est ainsi qu’elle a obtenu les informations d'identification et qu’elle a pu enregistrer la vidéo dans laquelle on peut voir les noms d'utilisateur et les mots de passe en texte brut. 

L'activation de l'authentification à double facteur recommandée

Or, il est probable qu’Apple ne stocke pas les mots de passe en texte brut dans sa base de données. C’est une très mauvaise pratique bannie depuis de nombreuses années par les sites Web sérieux. Sauf si les mots de passe ont été volés dans d'autres intrusions ou si les hachages cryptographiques volés ont été décryptés et appariés à des comptes iCloud, dans le cas où un même mot de passe sert pour différents comptes. La plupart des mots de passe qui apparaissent dans la vidéo sont trop simples pour résister à des attaques par force brute.

De son côté, Apple a indiqué à Fortune qu'« il n'y a eu aucune violation dans l'un des systèmes d'Apple, y compris iCloud et Apple ID. La liste alléguée des adresses e-mail et des mots de passe semble avoir été obtenue à partir de services tiers précédemment compromis. » Dans le doute,  les utilisateurs ont encore le temps de modifier leurs mots de passe eux-mêmes et d’activer la fonctionnalité d'authentification à deux facteurs d’iCloud avant la fin de l’ultimatum. En cybersécurité plus qu'ailleurs, mieux vaut prévenir que guérir.