Un nouvel outil publié sur GitHub prétend être capable d’accéder à un compte iCloud en utilisant une attaque « par force brute » : l’outil dispose d’un dictionnaire de mots de passe qu’il essaie successivement, jusqu’à trouver le bon. Normalement, Apple devrait finir par le bloquer après quelques tentatives, mais ses concepteurs précisent qu’ils ont réussi à contourner toutes les mesures mises en place par l’entreprise.
Pour parvenir à trouver le bon mot de passe, la très courte liste de 500 mots de passe utilisée par l’outil ne servira pas à grand-chose (sauf si votre mot de passe est « password », naturellement). L’outil n’en est pas moins dangereux, puisqu’il suffirait de générer une liste beaucoup plus longue, ou bien utiliser d’autres bases de mots de passe déjà dans la nature, pour augmenter ses chances de manière significative.
D’après 9To5 Mac qui a analysé le code de cet outil, Apple pourra très facilement le bloquer. Il semble que la seule chose qu’il fasse est de passer pour un iPhone au moment de proposer un mot de passe et apparemment, il n’y a aucune limite sur le nombre de tentatives effectuées depuis un iPhone. Il suffirait de placer une limite et l’outil perdrait tout son sens.
D’ici là, assurez-vous que votre mot de passe n’est pas constitué uniquement d’un mot simple et d’un chiffre. Mieux vaut soit générer un mot de passe complexe avec 1Password par exemple, soit allonger le mot de passe avec plusieurs mots et des majuscules ailleurs que sur la première lettre.
