L’affaire remonte à deux ans seulement, mais cela ressemble à une éternité sur l’échelle de la sécurité des données. Début septembre 2014, des dizaines de photos intimes de célébrités apparaissaient en ligne, sans évidemment l’autorisation des auteurs. Ces images étaient principalement stockées sur les comptes iCloud et Gmail des victimes. Ces comptes étaient mal sécurisés et rapidement, on a su comment l’auteur de ce vol de données a opéré : par ingénierie sociale, en récupérant les identifiants et devinant les mots de passe et réponses aux questions confidentielles.
À l’époque, Apple lançait à peine son système d’authentification à deux étapes, qui était alors peu déployé ; cela a changé depuis, et il est peu probable qu’un tel piratage de données puisse avoir lieu aujourd’hui en exploitant les mêmes techniques. L’affaire rebondit avec Ryan Collins, un homme résidant en Pennsylvanie, accusé par le Department of Justice de crime informatique : il lui est reproché d’avoir piraté l’accès aux comptes de ces célébrités.
Collins plaide coupable dans ce dossier. Il encourt entre 18 mois et 5 ans de prison. Le DoJ livre quelques indications sur le mode opératoire du pirate : de novembre 2012 à septembre 2014, il "hameçonnait" les vedettes, leur demandant leurs identifiants. Ces tentatives de phishing ont réussi pour plusieurs des victimes ; en ce qui concerne Apple, le malandrin a pu récupérer le contenu des sauvegardes iCloud.
En tout, Collins a pu pénétrer par effraction dans au moins une cinquantaine de comptes iCloud et plus de 70 comptes Gmail. Les enquêteurs doivent encore déterminer si le pirate a été celui qui a partagé ce contenu sur internet.
