C’est reparti pour un tour : voici Celebgate 3.0, et une nouvelle série de vol de photos intimes de stars avec leurs cortèges d’abus et de mauvaises blagues.
Cette fois-ci, ce nouveau vol de photos de stars concernent Miley Cyrus (notre photo ci-dessus), Stella Maxwell, Kristen Stewart, Tiger Woods, Lindsey Vonn et Katharine McPhee.
Les sites pirates qui ont publié ce contenu volé ne méritent pas le trafic qu’ils pourraient obtenir si nous partagions leurs noms. Il suffit de dire que l’un d’entre eux se considère comme un “site web satirique” qui publie des rumeurs, des spéculations, des hypothèses, des opinions, de la fiction et ce qu’il appelle des faits… Et, évidemment, du contenu volé illégalement !
Selon Fossbytes, McPhee a engagé des actions légales contre les sites qui ont publié le contenu volé la concernant. Même chose pour Woods, Kristen Stewart et sa petite amie, Stella Maxwell, a déclaré TMZ.
Vonn, une skieuse olympique et ancienne compagne de Woods, a qualifié ce vol de photos de stars de “violation inacceptable de la vie privée“. Les photos ont été volées sur son téléphone portable il y a quelques années. Son porte-parole a déclaré à People qu’elle allait engager des actions en justice :
Lindsey prendra toutes les mesures juridiques nécessaires et appropriées pour protéger et faire respecter ses droits et ses intérêts. Elle estime que les personnes responsables du piratage de ses photos privées ainsi que les sites web qui ont favorisé ce comportement détestable devraient être poursuivis devant la justice en application stricte de la loi.
Les stars ont souffert de ce type de violation de la vie privée en 2015 avec Celebgate 1.0. Dans sa version 1, les voleurs et de nombreux autres immondes partageurs de photos avaient violé l’intimité de Jennifer Lawrence, Kate Upton, Kirsten Dunst, Selena Gomez, Kim Kardashian, Vanessa Hudgens, Lea Michele, Winona Ryder, le fils de Hulk Hogan et Hillary Duff, parmi des dizaines d’autres célébrités féminines.
Les photos de cette dernière vague étaient encore en ligne fin août.
Nous avions pu constater à l’époque que plusieurs hommes avaient été reconnus coupables avec des peines de prison associées, pour avoir ouvert les comptes Gmail et iCloud de célébrités Hollywoodiennes, mais cela n’a pas empêché d’avoir un Celebgate 2.0 : en Mai dernier, nous avons vu les photos intimes d’Emma Watson et d’Amanda Seyfried volées et publiées.
Comment faire disparaître ces voleurs ?
Selon le FBI, les vols dans le cadre du Celebgate initial ont été perpétrés par un groupe de cybercriminels qui a lancé des attaques de phishing et utilisé des scams incitant à la réinitialisation des mots de passe au niveau des comptes de messagerie et des comptes iCloud des célébrités.
L’un d’entre eux, Edward Majerczyk, a atteint ses victimes en envoyant des messages ressemblant à des alertes de sécurité en provenance des FAI. Un autre condamné dans le cadre du Celebgate, Ryan Collins, a choisi de faire en sorte que ses messages de phishing donnent l’impression de provenir d’Apple ou de Google.
Ces individus se sont apparemment acharnés : en effet, l’adresse IP d’un des suspects du Celebgate, Emilio Herrera, aurait été utilisée pour accéder à environ 572 comptes iCloud uniques. Cette adresse IP s’en est pris à certains de ces comptes, et ce à plusieurs reprises : au total, l’individu derrière cette IP aurait essayé d’accéder à 572 comptes iCloud, 3 263 fois. Quelqu’un avec cette adresse IP aurait également tenté de réinitialiser 1 987 mots de passe de comptes iCloud uniques environ 4 980 fois.
Certains des suspects ont utilisé un outil pour craquer les mots de passe afin d’ accéder au compte : un outil qui ne nécessite pas de compétences techniques particulières. En fait, n’importe qui peut acheter l’un d’entre eux en ligne, et l’utiliser pour télécharger le compte iCloud d’une victime, s’il connaît ses identifiants de connexion.
Pour obtenir ces identifiants, les cybercriminels pénètrent dans le compte iCloud pris pour cible par phishing, que ce soit par email, par le biais d’un message texte ou par iMessage.
Il est intéressant de souligner que les scams, dont l’utilisation est vieille comme le monde, tout comme le phishing d’ailleurs, constituent toujours une menace bien réelle et surtout efficace.
Quiconque détient un compte de messagerie et une organisation, que des cybercriminels ne souhaitent pas voir apparaitre sur internet sans leur permission, devrait se méfier sérieusement. Mais être capable de voir la différence entre des messages officiels et malveillants peut s’avérer difficile.
Voici quelques astuces pour protéger vos images privées et éviter qu’elles n’atterrissent dans les mains de cybercriminels affamés :
- Ne cliquez pas sur les liens dans les emails et protégez ainsi vos identifiants de connexion vis-à-vis d’attaques de phishing. Si vous pensez vraiment que votre FAI, par exemple, est en train d’essayer de vous contacter, au lieu de cliquer sur le lien présent dans un email, contactez ce dernier en tapant l’URL de son site web et contactez-le en utilisant le numéro de téléphone ou l’email que vous aurez trouvés sur le site en question.
- Utilisez des mots de passe robustes.
- Verrouillez les paramètres de confidentialité sur les réseaux sociaux (voici comment le faire sur Facebook, par exemple).
- N’acceptez pas des invitations d’amis sur Facebook que vous n’avez jamais rencontrés et ne partagez pas vos photos avec des personnes que vous ne connaissez pas ou à qui vous ne faites pas confiance. D’ailleurs, faites attention à ceux que vous considérez comme vos “amis”. Un exemple d’individu nuisible se présentant comme un “ami” peut se trouver aussi sur le site de partage creepshot d’Anon-IB, où les utilisateurs ont affiché des images qu’ils prétendent provenir des flux Instagram d’un “ami”.
- Utilisez l’authentification multifactorielle (MFA) dès que possible. Le MFA signifie que vous avez besoin d’un code de connexion unique, en plus de votre nom d’utilisateur et de votre mot de passe, et ce chaque fois que vous vous connectez. Ce MFA permettra de vous protéger davantage vis-à-vis de cybercriminels qui essaieraient de vous attraper avec une attaque de phishing.
Billet inspiré de Celebgate 3.0: Miley Cyrus among victims of photo thieves, sur Sophos nakedsecurity.