En début de semaine, GreatFire.org a rapporté une attaque de type homme du milieu visant iCloud d'Apple et ses utilisateurs en Chine. Une cyberattaque s'appuyant sur un certificat électronique frauduleux afin de leurrer les utilisateurs pour qu'ils dévoilent leurs identifiants en croyant se connecter au soi-disant service sécurisé.

Il n'a jamais été question de la compromission d'iCloud - le service légitime d'Apple - mais c'est un point que la firme à la pomme a tenu à souligner. Dans un bulletin de sécurité consacré à iCloud.com, Apple ne fait pas spécifiquement référence à la cyberattaque en Chine mais c'est tout comme puisqu'il est disponible en anglais et en chinois.

" Nous sommes au courant d'attaques intermittentes d'un réseau organisé utilisant des certificats non sécurisés pour obtenir des informations sur les utilisateurs, et nous les prenons très au sérieux ", écrit Apple qui ajoute : " Ces attaques ne compromettent pas les serveurs iCloud et n'affectent pas les connexions à iCloud depuis des appareils iOS ou des ordinateurs Mac fonctionnant sous OS X Yosemite et utilisant le navigateur Safari. "

iCloud-Firefox-certificat Ici, Apple ne parle que de ses produits mais fait néanmoins référence dans son bulletin aux navigateurs Chrome et Firefox afin d'indiquer comment s'assurer qu'une connexion sécurisée a été établie et s'informer sur le certificat en jeu. Le fameux verrou dans la barre d'adresse.

La note d'Apple montre à quel point iCloud est devenu un sujet sensible et pas question de laisser le doute s'immiscer comme cela avait été le cas dans le cadre du Celebgate. Pour ce vol de photos dénudées de célébrités, Apple avait nié une quelconque compromission d'iCloud et avait évoqué le piratage de comptes après découverte des identifiants.

Un dernier cas de figure qui peut être évité avec la vérification en deux étapes. Dans ce registre, Google vient par ailleurs de la renforcer pour la connexion à ses comptes en proposant une clé USB à insérer comme deuxième étape de vérification plutôt qu'un code envoyé sur le smartphone.