iDict : un outil de force brute pour craquer les comptes iCloud

Cette semaine, un hacker a mis en ligne sur Github un outil capable de craquer un compte iCloud. iDict utilise une méthode de force brute qui consiste à essayer successivement plusieurs centaines de mots de passer jusqu'à trouver le mot de passe correspondant à une adresse mail.



Heureusement, la faille utilisée a été patchée en moins de 24h par Apple.

L'outil très simple se fait passer pour un appareil sous iOS et essaye tous les mots de passe inclus dans la base de données d'iDict. Depuis l'histoire des photos volées d'iCloud, Apple impose une limitation quant aux nombres de tentatives d'authentification justement pour éviter les attaques de force brute, mais cette limitation n'était alors pas appliquée aux iDevice.



Les 500 mots de passe inclus étaient plutôt basiques (ex : Pa$$word1, P@ssw0rd, ABCabc123, Superm@n,..) mais l'outil étant totalement open source il aurait pu être combiné avec un autre capable de générer des mots de passe plus complexes ou une base de données plus importante, constituant alors une réelle menace.

Apple n'a pas tardé à boucher la vulnérabilité, et l'utilisation de l'outil entraine tout simplement le blocage du compte attaqué. Mais pour éviter ce genre de hack, nous vous recommandons vivement d'utiliser un mot de passe complexe (incluant majuscules, minuscules, nombres et caractères spéciaux) plus d'activer la validation en deux étapes (vous pouvez retrouver notre tutoriel ici)

Source : iPhoneSoft