jeudi 9 août 2012

Une vie numérique détruite en trois coups de téléphone....



Un journaliste américain a perdu le contrôle de ses comptes e-mails et a vu le contenu de son ordinateur et de son téléphone disparaître sous ses yeux. Pour réussir cet exploit, les hackeurs ont exploité les failles des procédures de sécurité téléphoniques d'Amazon et d'Apple.


«En l'espace d'une heure, ma vie numérique a été détruite. On a piraté puis supprimé mon compte Gmail. Mon compte Twitter a lui aussi été piraté puis utilisé pour envoyer des messages racistes et homophobes. Et le meilleur pour la fin: quelqu'un a accédé à mon compte AppleID pour supprimer à distance toutes les données de mon iPhone, de mon iPad et de mon MacBook.»

Ce véritable cauchemar numérique est arrivé en fin de semaine dernière au journaliste du magazine américain Wired, Mat Honan. Et, à sa grande surprise, les hackeurs n'ont pas eu besoin d'employer la manière forte pour forcer ses mots de passe. En fait, ils n'ont eu à passer que trois petits coups de fil à Amazon et à Apple.

Ces deux géants du Web permettent à leurs clients américains de récupérer leur accès à leurs comptes par téléphone. Le client doit s'identifier en donnant à l'opérateur plusieurs renseignements personnels. Les hackeurs ont exploité les failles de ces procédures de sécurité pour obtenir accès à tous les services qu'ils souhaitaient. Voici comment ils ont procédé.

Des informations personnelles découvertes facilement

• Dès le début, les pirates souhaitaient pirater la page Twitter de Mat Honan. Dans sa biographie sur Twitter, le journaliste avait mis un lien versson site personnel. Un des hackeurs repère sur ce dernier l'adresse Gmail de la victime. Il suppose, à raison, que Mat Honan utilise son adresse Gmail pour se connecter sur Twitter. Son but est désormais d'accéder à ce compte mail.

• En activant la récupération de mot de passe sur Gmail (procédure qui permet d'obtenir un nouveau mot de passe qui sera envoyé sur un autre compte e-mail précédemment donné par l'utilisateur), Google indique au pirate qu'un nouveau mot de passe sera envoyé sur une adresse en @me.com. Il comprend alors que sa victime a un compte chez Apple. Pour accéder à ce compte, le hackeur sait qu'il a besoin du nom, de l'e-mail, de l'adresse de sa victime et des quatre derniers chiffres de sa carte bancaire. Les deux dernières données lui manquent, mais il trouve en quelques clics sur Internet l'adresse personnelle du journaliste.

• Récupérer le numéro de carte bancaire de sa victime? Rien de plus facile. Un second hackeur appelle Amazon et se fait passer pour Mat Honan en fournissant les trois informations demandées par l'opérateur: le nom du compte, son e-mail et son adresse de facturation. Il demande à ajouter un nouveau numéro de carte bancaire au compte Amazon.

• Le pirate rappelle un peu plus tard Amazon en expliquant qu'il a oublié l'adresse e-mail associée à son compte. Le site de vente en ligne lui demande son nom, son adresse de facturation et son numéro de carte bancaire : il n'a plus qu'à donner celui ajouté quelques heures avant. Amazon lui envoie un nouveau mot de passe sur l'adresse e-mail de son choix. Le pirate a désormais accès au compte Amazon de Mat Honer. Or,Amazon affiche en clair les quatre derniers chiffres des cartes bancairessur le compte personnel de ses clients.

• Adresse et quatre derniers chiffres de la carte bancaire: le premier hackeur a désormais tous les éléments nécessaires pour se faire passer pour Mat Honan sur la hotline d'Apple et obtenir de nouveaux accès. La suite est d'une simplicité enfantine. Le hackeur fait une demande de nouveau mot de passe Gmail, qui arrive sur le compte Apple. Désormais maître du compte Gmail du journaliste, il procède de même avec Twitter et obtient ce qu'il désirait depuis le début. Il supprime alors le compte Gmail de Mat Honer..


• En prenant possession du compte Apple du journaliste, les hackeurs ont également accès au service iCloud. Ce dernier permet d'accéder à toutes ses données depuis n'importe quel appareil ayant accès à Internet … mais aussi de les effacer grâce au service FindMy. Nos hackeurs ne s'en privent pas eteffacent tous les documents, photos et vidéos contenus dans les disques durs des appareils de Mat Honan. Ce dernier n'a désormais plus rien.


Apple et Amazon réagissent

La mésaventure du journaliste de Wired a rapidement fait le tour des sites spécialisés. Apple et Amazon ont immédiatement réagi en suspendant pour une durée indéterminée toutes leurs procédures par téléphone. Apple souhaite remettre à plat toute sa procédure d'identification par téléphone.

Les quatre derniers chiffres de la carte bancaire semblent poser le plus de problème. Nul besoin d'aller jusqu'au piratage du compte Amazon pour avoir accès à cette information. «Chaque jour, des millions d'Américains donnent leur numéro de carte par téléphone lorsqu'ils commandent des pizzas», explique Wired, qui rappelle que cette information figure également sur les reçus de cartes bancaires aux États-Unis.

Mat Honan a finalement pu récupérer toutes ses données grâce à Apple. Le journaliste reconnaît cependant ne pas avoir été très prudent en liant toutes ses données personnelles sur iCloud et FindMy, et en ne faisant pas régulièrement des copies de ses fichiers sur des disques durs externes. Cet incident fait écho aux déclarations de Steve Wozniak, cofondateur d'Apple, plus tôt dans la semaine. «Le stockage de données “dans le nuage” (cloud computing, NDLR) me tracasse vraiment. Je pense que cela va créer d'énormes problèmes dans les cinq prochaines années.»

Une double sécurité sur Gmail

Mat Honan admet que tous ses soucis ne seraient sûrement pas arrivés s'il avait activé la «validation en deux étapes» de Gmail. Avec cette option peu connue, l'utilisateur doit entrer à chaque connexion (ou tous les mois s'il estime se connecter depuis un ordinateur sûr) son nom d'utilisateur, son mot de passe, mais aussi un code spécial que Google lui envoie par SMS ou message vocal sur son téléphone portable. Un peu laborieux, mais rudement efficace pour réduire les risques de piratage.

http://www.lefigaro.fr/hightech/2012/08/08/01007-20120808ARTFIG00373-une-vie-numerique-detruite-en-trois-coups-de-telephone.php

Aucun commentaire:

Enregistrer un commentaire

La grandeur de Binyamin Netanyahou....

Binyamin Netanyahou était en visite aux Etats-Unis pour la conférence annuelle de l’AIPAC. Cette visite devait être triomphale. Elle a ...