Apple a fait savoir que son Dev Center, le portail Internet dont se servent les développeurs Mac OS X et iOS, a subi un piratage au cours duquel des données personnelles auraient été compromises. Apple a fermé le site pour renforcer la sécurité, mais un chercheur en sécurité conteste cette version. Il affirme avoir découvert des vulnérabilités dont il aurait informé Apple en toute bonne foi.

au sommaire


    Voici le message qui s’affiche lorsque l’on cherche à accéder à la partie réservée aux membres du Dev Center d’Apple. La firme à la pomme explique qu’un « intrus » a tenté d’accéder aux données utilisateurs. Le site est fermé jusqu’à nouvel ordre. © Apple Inc

    Voici le message qui s’affiche lorsque l’on cherche à accéder à la partie réservée aux membres du Dev Center d’Apple. La firme à la pomme explique qu’un « intrus » a tenté d’accéder aux données utilisateurs. Le site est fermé jusqu’à nouvel ordre. © Apple Inc

    Après la découverte d'un logiciel malveillantlogiciel malveillant s'attaquant aux Mac, AppleApple est à nouveau au centre d'une affaire de sécurité. Cette fois c'est son portail Internet dédié aux développeurs d'applicationsapplications Mac OS X et iOSiOS, le Dev Center, qui a fait l'objet d'une intrusion. Le site a été fermé jeudi dernier, officiellement pour maintenance. Mais durant le weekend, des développeurs ont reçu un courriel d'Apple leur expliquant la situation : « Jeudi dernier, un intrus a tenté d'accéder aux informations personnelles de nos développeurs enregistrés sur notre site web », peut-on lire dans le texte repris par The Next Web.

    Le message précise que malgré une protection des données par un système de chiffrement, il est possible que des informations telles que le nom des développeurs, leur adresse postale ainsi que leur adresse électronique aient été exposées. On peut s'interroger sur la coïncidence entre cet évènement et le fait que plusieurs malware récemment découverts sur Mac OS X disposaient d'un certificat officiel de développeur (Developer ID). Des pirates exploitaient-ils déjà les failles du Dev Center afin de créer ces certificats ? 

    Apple n'en fait pas mention... Mais l'entreprise dit avoir complètement revu la sécurité de son site en mettant à jour l'infrastructure logicielle de ses serveurs et en reconstruisant sa base de données. Et le géant américain assure que les données clients liées à des comptes iTunesiTunes n'ont pas été compromises. Le site était toujours fermé lundi soir et Apple n'a pas fourni de date pour sa réouverture.

    La version d’Apple contestée

    Cependant, cette version officielle fournie par Apple est contestée par un chercheur en sécurité basé en Angleterre, qui affirme être à l'origine de la découverte de la faille. Ibrahim Balic dit avoir trouvé 13 bugsbugs de sécurité sur le site Dev Center dont il aurait informé Apple en livrant tous les détails nécessaires. Il explique que l'un de ces bugs lui a permis d'accéder à des données utilisateurs. Pour apporter la preuve de sa découverte, il a fourni un échantillon d'informations prélevées dans les comptes de 73 utilisateurs, « tous employés d'Apple », souligne-t-il.

    Le chercheur affirme que le Dev Center a brutalement fermé quatre heures après qu'il a rapporté ces faits. Il déplore la manière dont l'affaire a été présentée par Apple qui a parlé de piratage. « Je ne suis pas très content et un peu irrité de ce que j'ai lu, car je n'ai pas fait cette recherche pour causer des dégâts », assure Ibrahim Balic dans un long commentaire posté sur le site TechCrunch en réaction à un article relatant les faits.

    Il fournit même une vidéo prouvant qu'il a cherché à prévenir la firme américaine. Balic précise qu'il a en sa possession plus de 100.000 données utilisateurs, ce dont il aurait informé Apple avant de les collecter. Le chercheur dit craindre d'être mis à l'index en étant considéré comme un pirate malintentionné. Il assure qu'il détruira les données dont il s'est servi uniquement pour voir jusqu'à quel point il pouvait exploiter les bugs qu'il avait mis à jour. Contactés par Futura-Sciences, ni Apple, ni Ibrahim Balic n'ont répondu à nos questions.