La sécurité en informatique ne peut reposer sur les seules épaules de l'utilisateur. Elle doit être aussi traitée avec le plus grand des sérieux par les entreprises, surtout celles qui se lancent dans l'hébergement de données personnelles à distance. Le cloud computing, qui est une tendance lourde dans l'informatique actuelle, l'exige, à la fois pour la fiabilité des systèmes comme pour la sécurité des informations.
Ainsi, si l'internaute doit prendre garde à ne pas utiliser le même mot de passe sur tous les services qu'il fréquente, il doit également en choisir des solides. De l'autre côté, le service doit prévoir des procédures de récupération de compte et d'assistance suffisamment efficaces pour filtrer les tentatives d'ingénierie sociale visant à s'emparer d'un profil ou de données privées.
iCloud piraté, puis les autres comptes
Or en l'état, il y a encore des progrès à faire. Le journaliste américain Mat Honan a raconté sa mésaventure sur son blog. En quelques minutes, un pirate est parvenu relativement facilement à avoir accès à son compte Cloud et à vider le contenu de ses différents appareils (un iPhone, un iPad et un MacBook Air). Même le compte Gmail a été piraté, dans la mesure où le compte Cloud sert de mail de secours, tout comme son profil Twitter.
La situation était donc critique pour Mat Honan. Le journaliste a donc contacté l'AppleCare pour signaler son problème, car le mot de passe choisi pour protéger son compte iCloud n'était pas si faible que ça : il était composé de sept caractères alphanumériques et n'avait jamais servi à protéger un autre compte. Bien sûr, une attaque par force brute est toujours envisageable mais nécessite du temps et de la puissance.
L'ingénierie sociale au cœur de l'attaque
Après une longue explication avec l'AppleCare, il a toutefois découvert le pot aux roses. Son identité a été usurpée par le pirate pour qu'il puisse tromper l'assistance de la firme de Cupertino. Point d'attaque par force brute ici, mais un petit malin ayant du répondant. Il a réussi avec (relative) facilité à se faire passer pour Mat Honan et franchir les différentes étapes de vérification pour réinitialiser le mot de passe.
Avec un nouveau mot de passe en poche, le pirate n'avait plus qu'à réinitialiser les mots de passe des comptes rattachés à iCloud et à lancer l'effacement des informations personnelles à distance de ces appareils, puisque ces derniers sont rattachés au compte. Et ensuite, il suffit de reproduire cette méthode en cascade, d'abord sur iCloud, puis sur Gmail. Et toute la vie numérique du journaliste est menacée.
Amazon comme porte d'entrée
Comme l'explique MacGénération, l'assaillant a eu l'idée de passer par Amazon – utilisé par le journaliste pour passer des commandes – afin de récupérer le numéro de carte de crédit. Une simple série d'appels téléphonies au centre technique du site de e-commerce pour obtenir l'accès au compte d'Amazon et mettre la main sur les 4 derniers chiffres, les autres étant masqués.
Ces 4 derniers chiffres ont été amplement suffisant pour tromper Apple, puisque l'assaillant n'a dû fournir que ceux-là pour vérifier son identité (les autres ne devant de toute façon jamais être communiqués, par mesure de sécurité). Il a ensuite pu donner l'adresse de facturation et de livraison, qui est celle du domicile de Mat Honan, pour déjouer les sécurités d'Apple.
Se faire passer pour le titulaire
Sur Wired, le journaliste explique la méthode du pirate. D'abord, il téléphone à Amazon qu'il est le propriétaire du compte et qu'il veut ajouter un numéro de carte de crédit. Il faut simplement fournir le nom du compte, l'adresse e-mail associée et l'adresse de facturation. Une fois ces éléments renseignés, Amazon autorise l'ajout d'un nouveau numéro de carte de crédit.
Ensuite, vous rappelez pour dire à Amazon que vous avez perdu l'accès à votre compte. Il faut alors fournir un nom, l'adresse de facturation et l'un des numéros de carte de crédit attaché au compte. Ici, c'est le nouveau qui est donné. Amazon va ensuite autoriser l'ajout d'une nouvelle adresse e-mail. Et avec celle-ci, il suffit de demander la réinitialisation du mot de passe du compte Amazon. Très bien pensé.
Retour à la normale
Depuis, les choses sont rentrées dans l'ordre pour Mat Honan. Les comptes Gmail et iCloud ont été récupérés et leur mot de passe a été modifié pour ne plus revivre une pareille expérience. Les données sur l'iPhone, l'iPad et le MacBook Air sont en cours de restitution. Et le profil Twitter doit également être restitué. Plus de peur que de mal, donc, même si la conclusion aurait pu être beaucoup plus problématique pour le journaliste.
Mat Honan invite néanmoins Apple à se pencher sur ses procédures internes lorsqu'il s'agit de vérifier l'identité du propriétaire d'un compte, afin d'éviter que des pirates doués en ingénierie sociale parviennent à se faire passer pour ce qu'ils ne sont pas : les titulaires légitimes des comptes attaqués. Car dès lors qu'une brèche est faite, les ennuis peuvent survenir en cascade.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.