Un hacker a mis en ligne sur Github un outil qui permet de “cracker” un compte iCloud ! Cet outil nommé iDict utilise une méthode par brute force.

Pour rappel, avec une attaque par brute force on essaye successivement une liste de combinaisons jusqu’à trouver la bonne. En l’occurrence dans ce cas précis, iDict tente de trouver le mot de passe correspondant à une adresse e-mail.

Cet outil exploite une faille de l’infrastructure iCloud d’Apple, lui permettant d’outrepasser les restrictions et l’authentification à deux facteurs qui prévient en temps normal des attaques brute force. Heureusement pour les utilisateurs, Apple a corrigé cette vulnérabilité suite à la mise en ligne de cet outil.

Pour fonctionner, iDict s’appuie sur un dictionnaire de combinaisons ou plutôt une liste de 500 mots de passe prédéfinis. Ils s’agit de mot de passe plutôt basiques : password, 12345678, qwerty, abc123, iloveyou, ABCabc123, Superm@n, Yankees1, Stephen1, Shannon1, John3:16, Gerrard8, Fuckyou2, etc… Voir la liste complète

Cependant, malgré les attaques à répétition sur le service iCloud… Rappelez-vous les photos de célébrités dérobées… De nombreux utilisateurs continuent d’utiliser des mots de passe trop simple !

Pour protéger votre compte, utilisez un mot de passe complexe et activez la validation en deux étapes sur votre compte.

Le hacker nommé Pr0x13, précise que son intention était seulement d’alerter Apple de cette vulnérabilité et de les pousser à la corriger rapidement.

Source