Depuis le 31 août, des photos de célébrités nues piratées circulent sur certains forums et réseaux sociaux. Parmi elles, l’actrice Jennifer Lawrence et le mannequin Kate Upton, Comment ces photos privées ont-elles pu se retrouver sur Internet? Quel est le but recherché par le hackeur? Explications.
A peine l’affaire survenue que la voilà déjà baptisée. C’est donc sous le nom de « celebgate » que l’on fera désormais référence à ces photos de célébrités nues dévoilées sur la toile. Mais reprenons depuis le début: le dimanche 31 août, des photos de plusieurs célébrités, dont les actrices Jennifer Lawrence et Victoria Justice, en petite tenue voire nues sont postées dans la section /b/ du forum 4chan, suivies d’une liste d’une centaine de célébrités qui auraient elles aussi été hackées.
{"type":"Pave-Haut2-Desktop"}
Si Jennifer Lawrence authentifie les photos par la voix de son porte-parole qui estime qu' »il s’agit d’une violation flagrante de la vie privée. Les autorités ont été contactées et poursuivront quiconque publiera les photos volées », Victoria Justice assure que les photos la concernant sont des fakes, tout comme Ariana Grande. Du côté des réseaux sociaux, les réactions ne se sont pas fait attendre. Après la suppression des photos par le site d’hébergement d’images Imgur, c’est Twitter qui se lance dans la chasse aux fameux clichés. Dans le même temps, le blogueur people Perez Hilton a présenté ses excuses, une fois n’est pas coutume, pour avoir publié les photos de Jennifer Lawrence sur son site:
At work we often have to make quick decisions. I made a really bad one today and then made it worse. I feel awful and am truly sorry.
— Perez Hilton (@PerezHilton) 31 Août 2014
(Au travail, on doit souvent prendre des décisions rapidement. J’en ai pris une très mauvaise aujourd’hui. Je me sens horrible et je suis sincèrement désolé).
Que s’est-il passé?
Le hack est mis ici et là sur le compte d’une faille dans iCloud, la plateforme d’Apple permettant de stocker des photos, des mails, des contacts et d’autres infos en ligne et d’y accéder depuis Internet à l’aide d’un identifiant et d’un mot de passe. D’autres mentionnent Dropbox, autre service de stockage et de partage en ligne. Mais pour Nicolas Diaz, webmaster à la FIDH et hacktiviste, « il n’y a pour l’instant aucune preuve d’une faille chez icloud ou Dropbox ». Il évoque trois scénarios possibles:
1- L’attaque par brute force: il s’agit de générer les identifiants et mot de passe du compte visé à l’aide de dictionnaires spéciaux. « C’est d’autant plus facile si le mot de passe est faible, c’est-à-dire s’il est composé d’un nom courant et d’un chiffre et qu’il fait moins de huit caractères. Dans ces cas-là il faut moins d’une minute pour le casser« . Les hackeurs utilisent des dictionnaires répertoriant des centaines de listes de mots de passe. « Parmi les plus courants, on trouve par exemple jamesbond007« . Cette attaque a pu être dirigée vers une boîte mail, un compte iCloud ou autre.
2- Via le Mac: le chiffrement du disque dur des Mac n’est pas activé par défaut. « C’est comme si tu pouvais trouver la clé de contact du BMW et l’ouvrir. C’est le revers de la médaille d’Apple » explique Diaz. En clair, n’importe quel hackeur expérimenté peut s’introduire sur votre Mac et s’emparer de vos photos et vidéos.
3- Le problème de la double authentification: Sur Gmail, lorsque vous oubliez votre mot de passe et que vous essayez désespérément d’entrer sur votre compte, Gmail finit par vous envoyer un code sur votre téléphone permettant de récupérer le mot de passe oublié. Cette procédure, qui s’appelle « double authentification » et permet d’éviter d’éventuels piratages a été mise en place chez Apple France en mars dernier. Le problème: elle n’est pas activée par défaut. L’utilisateur doit se rendre dans la rubrique en ligne « Mon identifiant Apple » afin de l’activer.
4chan et le lulz
Sans surprise, c’est dans la sous-section /b/ de 4chan (autoproclamée « le trou du cul de l’Internet ») que sont apparus les liens permettant de télécharger les fameuses photos. Selon plusieurs sites d’info, le hackeur qui en est à l’origine souhaitait troquer ses photos de nu contre des bitcoins, première monnaie électronique décentralisée et anonyme apparue sur le darknet, la face cachée et sombre de l’Internet. Mais, pour Nicolas Diaz, « il faut se méfier des effets d’annonce sur 4chan. Le mec qui a posté ces photos peut se les être procurées par rebonds, ne pas être à l’origine du leak. Il peut, en définitive, n’y avoir que très peu de photos volées ».
Au delà de l’hypothèse de l’enrichissement personnel, on peut aussi imaginer que ces photos n’ont été dévoilées que pour le « lulz ». Face obscure du lol, le « lulz » désigne un rire sarcastique, provoqué par le malheur d’un tiers ou une blague méchante.
Un précédent très médiatisé
En 2011, des photos de Christina Aguilera, Mila Kunis et Scarlett Johansson nues piratées envahissaient l’Internet. Après onze mois d’enquête, le FBI mettait la main sur Christopher Chaney, qui sera condamné à dix ans de prison en 2012 pour avoir hacké près de cinquante comptes de célébrités entre octobre 2010 et novembre 2011. Chaney avait piraté les téléphones portables des actrices afin de récupérer des informations personnelles lui permettant de pirater leurs boîtes mail. Il avait ensuite fait en sorte que leurs futurs mail soient automatiquement copié sur un compte mail séparé qu’il contrôlait. Ainsi, même si la star changeait son mot de passe, Chaney aurait toujours eu accès à ses mails.
Concernant Aguilera, Chaney lui avait envoyé un mail de l’adresse de sa styliste, dans lequel il lui demandait de lui envoyer des photos d’elle peu habillée. « Le sentiment de sécurité ne peut plus jamais être retrouvé et il n’y a aucune compensation à une telle invasion de la vie privée » avait déclaré la chanteuse après coup.
Notons au passage que ces piratages ne visent que des femmes et témoignent par là même d’un violent sexisme.
{"type":"Banniere-Basse"}