Mat Honan est un journaliste chez Wired à qui il est arrivé la désagréable mésaventure d’être la cible d’un hacker qui voulait prendre le contrôle de son compte Twitter. Ce hacker a pu, par un enchaînement de recherches et de coups de fils, pu réinitialiser les mots de passe des comptes de sa victime suivants :
– Amazon
– Apple (Apple ID : iCloud, iTunes…)
– Google (Gmail)
– Twitter
Le hacker n’a effectué aucun achat avec les comptes Amazon ou Apple ou Google, mais il aurait pu par exemple commander des télés sur Amazon ou des applis sur les App Store… Par contre, en accédant au compte iCloud, il a pu effacer toutes les données que le journaliste stockait en ligne ET sur son Macbook via le service « Find My Mac » d’Apple (qui permet de bloquer le Mac à distance et d’y effacer toutes les données). Le journaliste a perdu un an et demi de données personnelles, notamment toutes ses photos qu’il n’avait pas sauvegardé ailleurs, car il avait trop confiance dans iCloud.
Son aventure et ses recherches sont toutes expliquées ici (en anglais).
Cet article explique de façon détaillée comment le hacker s’est introduit dans ses différents comptes. Et contrairement à ce qu’on pourrait penser, c’est vraiment à la portée de tous. Je n’ai pas moi-même effectué les manipulations mais Mat Honan a pu les vérifier lui-même. Je les traduis ici pour les non-anglophones afin de vous montrer que malgré tout ce que vous pouvez penser, vous n’êtes pas à l’abri de ce genre de mésaventure.
À l’origine, le hacker veut donc avoir accès au compte Twitter de Mat Honan. Tout d’abord il va prendre comme hypothèse que le journaliste a utilisé son adresse e-mail normale pour ouvrir le compte Twitter. Il trouve l’adresse du site web du journaliste, et sur ce site web, trouve l’adresse mhonan@gmail.com. Si le hacker veut accéder au compte Twitter, il doit avoir accès à ce compte Google pour faire un changement de mot de passe du compte Twitter.
Comment avoir accès au compte Gmail ? De la même manière, le hacker va chercher un moyen de changer le mot de passe de ce compte. Pour cela, il va lancer une procédure de récupération de mot de passe oublié. Google propose alors d’envoyer un e-mail à une des adresses e-mail alternatives que le journaliste avait indiquées à Gmail. Une de ces adresses est m****n@me.com (Google cache volontairement certains caractères). Il ne faut pas être informaticien pour deviner que cette adresse est mhonan@me.com, celle d’un compte iCloud (anciennement Mobile Me) de chez Apple. Le hacker va donc devoir avoir accès au compte Apple Me pour changer le mot de passe du compte Google.
C’est là que tout va se jouer car changer le mot de passe d’un compte iCloud n’est pas très compliqué. Le hacker, qui a par la suite contacté le journaliste, a indiqué qu’il était systématiquement possible de rentrer dans un compte Apple. Cette adresse de récupération qui devait sauver le journaliste a en fait entraîné sa perte.
Pour récupérer un mot de passe d’un compte iCloud, Apple ne demande « que » l’adresse de facturation du compte ainsi les 4 derniers chiffres du numéro de carte de crédit enregistrée sur ce compte. Comment faire pour obtenir ces deux informations très privées ?
Pour ce qui est de l’adresse, il faut faire jouer Google et toutes les bases de données possibles. Le journaliste ayant acheté un nom de domaine, son adresse était dans le Whois. Première étape terminée.
Deuxième étape, les 4 derniers chiffres du numéro de carte bleue. Le hacker a pris comme hypothèse que le journaliste avait déjà acheté sur Amazon et va rajouter une carte bancaire sur le compte Amazon de Mat Honan. Il suffit pour cela d’appeler Amazon, de leur donner un nom de détenteur de compte, une adresse e-mail, l’adresse de facturation (qu’on a déjà), et le numéro de la carte bancaire que l’on veut rajouter. Le hacker a pour cette dernière utilisé un générateur de faux numéro de carte bancaire.
Ensuite, une fois la conversation terminée, le hacker rappelle Amazon et dit qu’il a oublié le mot de passe de son compte Amazon. Il donne le nom de Mat Honan, l’e-mail, l’adresse de facturation, et Amazon demande en plus un numéro de carte bancaire associée au compte. Il a suffit au hacker de donner le numéro de la carte qu’il venait d’ajouter et bingo, Amazon lui donne accès au compte.
Une fois sur le compte Amazon, le hacker liste les moyens de paiements enregistrés : il y a en dernier la fausse carte qu’il vient de rajouter, et au-dessus, la carte bancaire du journaliste. Bien sûr, Amazon masque les numéros de cartes bancaire, sauf… les 4 derniers chiffres.
Notre hacker appelle donc Apple en donnant l’adresse e-mail de l’Apple ID, le nom, l’adresse de facturation et les 4 derniers chiffres de la carte bancaire du journaliste. Apple réinitialise le mot de passe, et le hacker a accès au compte Apple du journaliste. Au passage, il accède à distance au Mac du journaliste, y efface tout et le bloque (en rajoutant un code PIN sur le Mac), afin de bloquer toute tentative pour le journaliste de comprendre ce qui se passe.
Ensuite, il lance la procédure de changement de mot de passe de Google grâce au compte Apple, et fait de même avec le compte Twitter. Sur ce dernier, il fait de la merde et Twitter bloque le compte du journaliste.
Que nous apprend cette mésaventure ?
Tout d’abord qu’il faut éviter de lier les comptes les uns aux autres. Le hacker aurait eu beaucoup plus de peine à hacker le compte Gmail si l’adresse e-mail de restauration n’avait pas été une adresse d’un autre service facilement hackable.
Au passage, Google propose maintenant un système de « validation en deux étapes » vraiment, vraiment plus strict, qui demande un code envoyés par SMS pour toute connexion à partir d’un ordinateur inconnu. Je vous conseille fortement de l’activer : si Mat Honan avait activé la validation en deux étapes, le hacker n’aurait jamais pu pénétrer le compte Gmail.
Ensuite, on apprend aussi avec stupéfaction que les comptes Apple se hackent en deux coups de cuillère à pot. Interrogé, Apple a répondu que ses procédures de sécurité n’avaient pas été respectées, ce que le hacker et le journaliste démentent (Mat Honan a tenté plusieurs fois la manipulation et ça a marché à chaque fois).
Enfin, que Amazon aussi a une sécurité de merde qu’on peut faire sauter en 5mn, ce qui est TRÈS inquiétant. C’est pas comme si la moitié de la planète y avait enregistré son n° de carte bleue.
Je rappelle que Google, Apple et Amazon sont tous les trois des marchands et que le hacker aurait vraiment pu faire pleins d’achats pour foutre la merde.
Et, enfin, évidemment, les services clients des différentes sociétés ont été incapables de comprendre ce qui se passait.
Un autre résumé en français sur 01net
J’en profite pour signaler au passage que toutes les protections à base de questions du genre « Comment s’appelle votre mère ? » sont DE LA MERDE. Dans la majorité des cas, il suffit d’aller sur Facebook pour trouver ces informations.
Pensez-y.
Modification du 10/08 : Remplacement des références à Mobile Me par iCloud.
À priori Apple a bloqué toutes les procédures de récupération de mot de passe depuis hier, le temps de refaire un audit de leurs procédures de sécurité.
Merci pour l’article.
Même si plus rien ne m’étonne de la part d’Apple, il est plus surprenant de voir qu’Amazon ne pratique qu’une si basse forme d’authentification du correspondant pour les appels téléphoniques … Car effectivement, nom + mail + adresse postale sont des informations faciles à obtenir sur n’importe qui aujourd’hui.
Et concernant les protections type « questions secrètes », je conseille systématiquement à mon entourage de ne PAS répondre à la question et de préférer entrer un nom, un mot, une connerie, n’importe quoi qui soit sans rapport avec la question. Il suffira de s’en souvenir, mais il y a plein de méthodes fiables pour conserver en sécurité ce type d’informations pour le jour ou en aura besoin.
En tout cas, cet article m’a convaincu d’utiliser l’auth à deux termes sur mon compte Google.