Le site développeurs d'Apple a fait l'objet d'une tentative d'intrusion jeudi dernier. C'est pour cette raison qu'il a été fermé en fin de semaine et qu'il est toujours inaccessible, aujourd'hui encore.
Après avoir évoqué une maintenance plus longue que prévu, Apple explique le fond de l'affaire sur la page d'accueil. Elle n'exclut pas que des noms et/ou des adresses électroniques de ses développeurs enregistrés puissent avoir été obtenus, mais les informations personnelles de nature sensible sont chiffrées.
Le système de ce portail développeurs est donc en pleine restructuration. Apple a ensuite déclaré à nouveau auprès de Macworld que le serveur auquel cet intrus avait eu accès n'était associé à aucune donnée personnelle des clients iTunes, lesquelles sont également chiffrées. Pas d'accès possible non plus aux apps stockées où aux serveurs sur lesquels les informations de ces apps sont enregistrées.
Dans une vidéo postée sur YouTube, Ibrahim Balic (Linkedin), le spécialiste en sécurité qui revendique cette intrusion, explique avoir signifié à Apple sa faille de sécurité quelques heures avant que le site ne soit fermé.
Il montre dans son clip qu'il a pu accéder à des identifiants et adresses électroniques (100 000 entrées selon lui). Mais aucune autre information, a-t-il confirmé dans un mail à 9to5mac. Il affirme avoir réalisé cette opération à des fins de recherche en sécurité, et il compte supprimer les données obtenues.
[MàJ à 9h] : Dans l'email publié par The Next Web, Ibrahim Balic raconte avoir relevé 13 bugs sur le site d'Apple, et tous ont été soumis à l'intéressée via la page dédiée aux développeurs.
Il a extrait et présenté les détails de 73 comptes pour appuyer sa démonstration auprès d'Apple. 4 heures après ce signalement, Apple a fermé l'accès au site développeurs. Il a demandé à Apple par mail si cette dernière souhaitait qu'il interrompe ses recherche pour ne pas la mettre en difficulté, mais sans réponse à ce jour.
Devant la description faite parfois de cette intrusion, il insiste sur son côté purement académique, sans motivation de nuire ou de collecter des information à des fins illégales.
« In some of the media news I watch/read that whether legal authorities were involved in its investigation of the hack. I’m not feeling very happy with what I read and a bit irritated, as I did not done this research to harm or damage. I didn’t attempt to publish or have not shared this situation with anybody else. My aim was to report bugs and collect the datas for the porpoise of seeing how deep I can go within this scope. I have over 100.000+ users details and Apple is informed about this. I didn’t attempt to get the datas first and report then, instead I have reported first.
I do not want my name to be in blacklist, please search on this situation. I’m keeping all the evidences, emails and images also I have the records of bugs that I made through Apple bug-report. »
