iCloud & Ransomware

Depuis deux trois jours, des informations quelque peu inquiétantes remontent sur les forums Mac concernant des appareils Apple bloqués semble-t-il via iCloud (iPhone, iPad, Macintosh).

http://www.macg.co/mac/2017/07/attention-la-vague-de-rancongiciel-qui-touche-les-appareils-apple-99245

On ne sait pas pour l'instant si les escrocs ont passé les défenses d'Apple ou s'il s'agit de social engineering mais ils ont réussi à bloquer des appareils via localisez mon Mac/iPhone/iPad et le mode perdu.

Dans tous les cas, faites bien attention à votre compte iCloud. N'utilisez pas vos identifiants sur un autre site, employez un mot de passe fort, méfiez-vous des messages non sollicités qui demandent votre identification.

Si cela vous arrive, ne pas paniquer et surtout ne pas payer la somme demandée. Rendez-vous dans un Apple Store avec votre facture d'achat où on débloquera votre appareil.

Restez très prudents.

Je n’ai pas bien compris. Ça ne concerne que la cas d’utilisation d’iCloud ou il y a un malware s’installe sur la machine par un autre chemin ?

Je ne sais pas si c’est lié mais je viens de trouver et d’installer une grosse mise à jour de sécurité 2017-003 sur mon iMac (en yosemite) de plus de 400 Mo.

hr a écrit:

Je ne sais pas si c’est lié mais je viens de trouver et d’installer une grosse mise à jour de sécurité 2017-003 sur mon iMac (en yosemite) de plus de 400 Mo.

https://macnomodo.1fr1.net/t3565-mise-a-jour-de-securite-2017-003-et-safari-10-1-2

hr a écrit:

Je n’ai pas bien compris. Ça ne concerne que la cas d’utilisation d’iCloud ou il y a un malware s’installe sur la machine par un autre chemin ?

Avec iCloud, tu as une fonction qui permet de localiser et bloquer à distance ton appareil (Mac, iPad, iPhone). Cette fonction a été utilisée par des hackers qui ont réussi à avoir accès à certains comptes iCloud pour rançonner leurs propriétaires.

On ne sait pas comment ils ont procédé. Normalement, l'identification à deux facteurs aurait du empêcher qu'un appareil inconnu ne se connecte au compte même s'il possède le mot de passe.

Comme d'habitude, les gens touchés ne sont pas très clairs sur les circonstances du hack. Personnellement, j'y vois beaucoup de légèreté.

Ah ben dis-donc, pour la mise à jour je n’ai été prévenu par le mac qu’aujourd’hui alors que ton message date du 20. Et qui plus est, le 20 j’ai mis à jour Safari ! Il a dû se passer un couac.

Pareil pour iTunes du 20 aussi et qui ne m’a été proposée qu’aujourd’hui… Pourquoi celle de Safari et pas les deux autres ? Un peu fort.
Pas bon ça. Si on ne peut plus compter sur le signalement automatique des mises à jour, ce n’est pas rassurant.

Pour ce qui est du racket, c’est donc bien entièrement lié à icloud. En ce qui me concerne, je ne suis donc justement pas concerné.

La soirée de mise à jour fut un peu bordélique. iTunes refusait de s'installer (error 3111 ???) et j'ai même eu la SecUpdate 2017-003 qui n'apparaissait pas sur le MBP alors qu'elle était bien apparue sur l'iMac. J'ai lu les mêmes problèmes chez d'autres en consultant la toile.

Je trouve que depuis qu'ils ont lié les mises à jour avec l'application App Store ça ne va plus aussi bien qu'à l'époque du module de mise à jour indépendant.

Ah d’accord, ce n’était donc pas juste chez moi que ça s’est coincé.
Heureusement huit jours plus tard la mise à jour a été reproposée et signalée sur le bureau mais tout de même, ça n’est pas très rassurant. À se demander si on n’en a pas raté d’autres parfois par ce bug.

Oui, il me semble aussi que les mises à jour par l’app store se passent différemment et que ce n’est plus aussi clair qu’autrefois. Je trouve ça moins lisible. Quelque chose qui ne s’était pas installé, pour une raison ou l’autre, restait toujours dans la liste et on pouvait réessayer.


Quand j’ai relu ton message que tu m’as ré-indiqué sur la mise à jour de sécurité lors de sa sortie, je me suis souvenu que je l’avais effectivement vue passer. J’en suis pratiquement certain parce qu’il y avait trois choses (la troisième étant probablement itunes) alors que l’historique ne gardait trace que de Safari, mais que comme je clique systématiquement sur « tout installer » et quand c’est fini, je referme sans chercher plus loin, je n’y ai vu que du feu sur le moment.

Ça pousse à devenir sourcilleux et surveiller de près ce qui se passe. Bref, à ne pas être trop confiant même dans un mécanisme censé être bien rodé depuis tant d’années.

Ok. Je sais le comment du pourquoi concernant le verrouillage des appareils.

Il y a deux préalables :

– l'attaquant connait vos identifiants iCloud
– vous avez activé Localiser mon Mac/iPad/iPhone

Lorsqu'un appareil inconnu ou un navigateur se connecte à un compte iCloud, même avec les identifiants, il lui est demandé un code à 6 chiffres (c'est l'identification à deux facteurs). Ce code est envoyé à un appareil "de confiance".

Or, sur la page demandant la saisie du code à 6 chiffres, figure un bouton "Localiser mon Mac". En cliquant sur ce bouton, on peut accéder à cette fonction et bloquer les appareils sans en passer par l'identification à deux facteurs. Toutefois, ce n'est valable que si la fonction "Localiser mon Mac" était bien activée sur ces appareils.

Dans le cas de l'identification à deux facteurs, l'attaquant n'a pas eu accès au compte iCloud et à ses réglages. Il a simplement bloqué les appareils.


Si vous pensez que la sécurité de votre identifiant Apple a été compromise

Identification à deux facteurs pour l’identifiant Apple

Disponibilité de l’identification à deux facteurs pour l’identifiant Apple