Ecrans, un site de Libération.fr

Dixit

Connard de beurre demi-sel !

Ces poètes de cuistots dans « Top Chef »

  • Home
  • Internet
  • Télévision
  • Cinéma
  • Dvd
  • Jeux
  • Téléphone
  • Forums
  • Rss

mercredi 8 août 2012 17:31

  • internet

Bien mal hacké

par Stéphane Moussie

tags : Apple , cloud computing , hacking

Autoportrait de Mat Honan CC BY.

Imaginez un peu : en partant simplement de votre compte Twitter et de l’adresse email qui lui est liée, une personne mal intentionnée supprime tout le contenu de votre ordinateur et de votre smartphone, le tout sans avoir installé le moindre logiciel malveillant ni craqué un mot de passe.

Impossible ? C’est pourtant la mésaventure qui est arrivée à un journaliste de Wired, magazine américain spécialisé dans les nouvelles technologies, Mat Honan, a priori pas né de la dernière pluie en ce qui concerne l’Internet.

Dans un article intitulé « Comment les failles de sécurité d’Apple et Amazon ont conduit à mon épique hack », le journaliste revient longuement sur la déconvenue numérique à laquelle il a dû faire face en fin de semaine dernière. Alors qu’il jouait avec sa fille, son iPhone affiche l’écran de configuration, tandis que son ordinateur l’enjoint à saisir un code à quatre chiffre. « À partir de cet instant, je savais qu’il se passait quelque chose de très très mauvais, raconte-t-il. J’ai compris pour la première fois que j’étais en train d’être piraté. »

Mat Honan n’a dès lors plus la main sur son iPhone, ni sur son Mac. L’identifiant iCloud, le service dans le nuage d’Apple — demandé par le téléphone suite à une tentative de restauration — a changé, et le Mac réclame un code PIN inconnu par son propriétaire. Les mots de passe de ses comptes Gmail et Twitter ont également été modifiés, bloquant leur accès.

Mat Honan se crée alors un nouveau profil sur Twitter, sur lequel il est contacté par le hacker à l’origine de ces attaques. Et ce dernier de lui expliquer comment il a procédé pour ruiner en quelques heures ses principaux espaces numériques, le tout par simple « débrouillardise ».

Tout commence sur le compte Twitter de Honan, dont le hacker voulait s’emparer à l’origine — par « simple amour des comptes en trois lettres », a-t-il expliqué. Phobia, le pseudo utilisé par ce dernier quand il converse en ligne, a découvert le site du journaliste via un lien publié sur Twitter. Sur ce site web figure l’adresse Gmail de Honan. Phobia réalise alors une demande de réinitialisation du mot de passe du compte Google, et découvre à cette étape que sa cible possède une adresse en Me.com (qui sert à se connecter à un compte iCloud), et que le préfixe est le même que l’adresse Gmail.

  La page de réinitialisation de mot de passe d’un compte Google, sans l’option de vérification en deux étapes, permet de voir une partie de l’adresse email de récupération.  

Mais, pour accéder au compte iCloud du journaliste en passant par l’assistance téléphonique de la Pomme, le hacker a besoin des quatre derniers numéros de sa carte de crédit. Pour cela, il va chercher du côté d’Amazon, se faisant passer pour Honan avec l’adresse de facturation comme preuve, une information qu’il a trouvé auparavant via un Whois sur le nom de domaine du site de Mat Honan.

Phobia précise que c’est un complice qui s’’est chargé de cette étape auprès d’Amazon. Celui-ci ajoute une carte de crédit comme moyen de paiement par téléphone, puis passe un second coup de fil à l’entreprise pour indiquer que l’accès au compte a été perdu en se servant du nouveau moyen de paiement comme attestation. Amazon permet dans ce cas d’ajouter une nouvelle adresse mail, et bingo : le hacker peut réinitialiser le mot de passe et ainsi accéder aux derniers chiffres de la carte de crédit de Mat Honan.

Un coup de fil à Apple en communiquant le nom, l’adresse et les quatre derniers numéro de la carte bancaire, et l’Arsène Lupin numérique peut prendre le contrôle du compte iCloud de sa cible. En utilisant la fonction « Localiser mon iPhone », qui marche également avec un Mac et un iPad si on l’a activé manuellement, Phobia bloque dans la foulée tous les appareils du journaliste, puis les efface.

 

La fenêtre de la fonction « Localiser mon Mac », qui permet d’envoyer un message sur son ordinateur à distance, de le verrouiller... ou de l’effacer complètement.

 

Mat Honan conclut son récit en s’en prenant à lui-même : « Une chose étrange, c’est que je ne suis pas particulièrement en colère contre Phobia ou son partenaire dans l’attaque. Je suis surtout très énervé contre moi-même. Je suis fou de rage de ne pas avoir sauvegardé mes données [il a perdu des photos de sa fille dans l’affaire, ndlr]. Je suis triste et choqué, et je pense que je suis à blâmer en fin de compte pour cette perte. » En face, le hacker affirme avoir mené son action pour pointer les failles dans les procédures d’identification qui entourent la vie numérique d’un internaute.

Le journaliste exprime d’ailleurs sa rancœur envers Apple et Amazon, qui ont rendu ce hack en cascade possible : « Je suis fâché contre cet écosystème dans lequel j’ai placé tellement de confiance et qui m’a si bien laissé tomber. Je suis en colère qu’Amazon rende si facile l’accès à votre compte, ce qui peut avoir d’évidentes conséquences financières. Et puis il y a Apple. À l’origine, j’ai créé un compte pour acheter des chansons à 99 centimes. Au fil des années, ce compte s’est transformé en un point d’entrée unique pour contrôler mon téléphone, ma tablette, mon ordinateur et ma vie numérique. Avec cet identifiant Apple, quelqu’un peut faire des milliers de dollars d’achat en un instant, ou causer des dommages qui n’ont pas de prix. »

Amazon a réagi en annonçant un changement de politique de sécurité. Il n’est désormais plus possible de modifier des éléments d’un compte via un appel téléphonique. Apple a fait de même, il est dorénavant impossible de réinitialiser un mot de passe en passant un coup de fil à sa hotline.

 

 

La mésaventure de Mat Honan permet au moins de rappeler quelques règles de sécurité basiques. Utiliser des mots de passes différents pour chaque site, voire même une adresse email différente — qui ne soit pas trop semblable aux autres —, est indispensable. La validation en deux étapes de Google (par adresse email et numéro de mobile) permet aussi de protéger plus efficacement son compte. On peut aussi ne pas stocker ses moyens de paiement chez Amazon. Et surtout faire des sauvegardes, si possible pas uniquement dans le nuage...

Une série de conseils qui rejoignent une déclaration concomitante de Steve Wozniak, cofondateur d’Apple, qui se disait cette semaine « [inquiet] de la tournure que prend le cloud. Je pense que cela va être épouvantable. Je pense qu’il va y avoir beaucoup d’horribles problèmes dans les cinq prochaines années. Avec le cloud, vous ne possédez rien, vous avez déjà cédé vos données… »


Il y a 9 réactions à cet article.

Lire les réactions.
Réagir à cet article.

Partager cet article

Partager sur Facebook TweetPartager sur Google+

Twitter Ecrans Facebook Ecrans

Sur les mêmes thèmes:

Apple - Détrôné, Apple cherche à se racheter

cloud computing - Ils ne se mouchent plus du cloud

hacking - Syrian Electronic Army, la guerre des nerds

article précédent
La mauvaise Face de Facebook
article suivant
MegaUpload : un assaut pour le show


 

Loading

Outils

  • imprimer
  • écrire à Stéphane Moussie
  • réactions (9)
  • Tweet
  • Partager sur Facebook
  • Partager sur Google+

Actualit

  • Xbox One : Microsoft vous regarde
  • Entendu sur le web : Au coin de la rue : Amina, la solitude
  • La mission Lescure envoie son coordinateur au CSA
  • Silence on joue ! La Xbox One, Metro Last Light
  • [Vidéo] Ecrans.fr, le podcast : Tumblr, rapport Lescure et Google

Lib.fr

  • Mariage pour tous: Juppé n'appelle pas à manifester
  • La «personnalité psychopathique» de Tony Meilhon scrutée à la barre
  • Drones, tornade et terrorisme : l'actu de la semaine en scrapbooking
  • Déclaré inéligible, Chenva Tieu se retire de la primaire UMP à Paris
  • «Say on Pay», une manière (très) douce de plafonner le salaire des patrons
publicité

Etonnant, non ?

img75
L’art de la table

Chaque jour du mois de mars, l’artiste Hong Yi a créé une œuvre d’art en respectant deux règles : 1) utiliser uniquement de la nourriture et 2) faire d’une assiette blanche la toile de fond.


Chronophage

Minimalist Mayhem

Pas de bol : on menait une vie bien tranquille de petit cube gris dans son monde gris, et voilà que d’extravagants aliens débarquent pour nous pourrir la vie.


En bref

img75
Hadopi : Aurélie Filippetti décrète la fin de la coupure

La ministre de la Culture, Aurélie Filippetti, a annoncé que la coupure d’accès à Internet, dernière des sanctions graduées en cas de piratage, serait supprimée par décret « extrêmement rapidement ».


Vendredi, à poils !

img75
Sushis et chats-shimis

Le Japon aime les chats ; le Japon aime les sushis. Et certains étranges personnages japonais aiment donc les chats-sushis.


Inutile donc inutile

img75
Sur le bout des onglets

Bon c’est sûr, il faut aimer l’accordéon.


Vidéo box

img75
Animation atomique

Sorti il y a quinze jours sur YouTube, « A boy and his atom » est le premier film animé de l’histoire avec... des atomes.




accueil | internet | télévision | cinéma | DVD | jeux | téléphone
contacts | licence | mentions légales | données personnelles | charte d’édition
engine SPIP | powered by carburant
© Libération- un site de Libération Network - 2006 - 2008