Récapitulatif : pendant environ quatre ans, un homme du comté de Los Angeles a pu voler des centaines de milliers de photos et de vidéos sur les comptes iCloud de jeunes femmes à travers les États-Unis. Bien qu’il n’ait pas enfreint la sécurité d’iCloud pour le faire, il s’agit d’un rappel important de ne jamais céder vos informations d’identification Apple à qui que ce soit et d’utiliser l’authentification à deux facteurs pour empêcher tout accès non autorisé à votre compte.
En 2014, Apple a fait face à l’une des plus grandes erreurs de sécurité de l’histoire de l’entreprise lorsqu’un groupe de pirates informatiques a réussi à exploiter les comptes iCloud de plus d’une centaine de célébrités et a eu accès à leurs photos et vidéos privées. Plusieurs hommes ont depuis été reconnus responsables de l’incident, qui a culminé avec la diffusion du contenu privé sur le Web.
Même si Apple n’a jamais admis une violation réelle d’iCloud, on pense que cela a été rendu possible par des pratiques de sécurité clémentes qui ont permis de deviner les mots de passe par force brute.
Avance rapide jusqu’à aujourd’hui, et un homme californien a plaidé coupable à pas moins de quatre chefs d’accusation de crime après avoir fait irruption dans des milliers de comptes iCloud dans le but de voler des images nues de femmes. Selon un rapport du Los Angeles Times, Hao Actu Chi a admis qu’il s’était fait passer pour des membres du support client Apple pour tromper ses victimes en leur faisant partager leurs identifiants Apple par e-mail.
Des documents judiciaires révèlent que Chi, 40 ans, a volé plus de 620 000 photos privées et 9 000 vidéos qu’il a ensuite hébergées sur son compte Dropbox personnel pour trier les images « gagnantes » des autres. Pour ce faire, il n’a enfreint aucune des protections de sécurité d’iCloud et a plutôt utilisé l’ingénierie sociale et le phishing sur plus de 300 victimes aux États-Unis, pour la plupart de jeunes femmes.
Pendant des années, Chi a opéré en ligne sous le surnom de « icloudripper4you » et a utilisé deux adresses Gmail où le FBI a trouvé plus de 500 000 e-mails et 4 700 identifiants iCloud que les victimes lui avaient envoyés. Il n’a pas travaillé seul, bien qu’il maintienne qu’il ne connaît pas l’identité de ses co-conspirateurs.
Le programme a fonctionné entre 2014 et 2018, mais s’est immédiatement effondré après que Chi a décidé de partager les photos et vidéos privées en ligne. Assez rapidement, une entreprise californienne spécialisée dans la suppression des photos de célébrités du Web a informé un client anonyme qu’elle avait trouvé une correspondance sur plusieurs sites Web pornographiques.
Les enquêteurs avaient déjà suivi Chi à l’aide de données provenant de plusieurs sources telles que Apple, Dropbox, Google, Facebook et Charter Communications, et ils ont finalement pu retrouver son adresse personnelle. Chi a plaidé coupable plus tôt ce mois-ci et risque jusqu’à cinq ans de prison pour chacun des quatre chefs d’accusation.