Il y a presque exactement un an, un journaliste du magazine Wired avait raconté comment un pirate avait pu accéder à ses comptes iCloud, Gmail ou Twitter, en utilisant l'ingénierie sociale à partir d'Amazon. En se faisant passer au téléphone pour le propriétaire du compte Amazon, le hacker avait gagné l'accès à des informations utiles pour débloquer l'accès à d'autres comptes d'autres services en ligne, montrant ainsi que la principale faille de sécurité n'était pas technique, mais humaine.
Or voilà qu'une affaire très similaire dévoilée par CBS News est arrivée à l'acteur américain Erik Stolhanske, qui a accepté d'être le cobaye d'une expérience réalisée par un consultant en cybersécurité de la société SecureState. Là encore, c'est en utilisant Amazon comme porte d'entrée que le "pirate" a pu progressivement accéder aux comptes Apple et Dropbox de la victime, ainsi qu'à ses e-mails et à son compte d'hébergement de site web.
Dans un premier temps, SecureState a utilisé le site Spokeo pour glaner un maximum d'informations sur Erik Stolhanske. Spokeo, qui est un équivalent anglosaxon du site 123People sanctionné par la CNIL, compile notamment les adresses e-mails, numéros de téléphone et autres adresses postales correspondant à une personne dont l'on recherche le nom.
Armé de la liste des adresses e-mail associées à Erik Stolhanske, le consultant s'est alors rendu sur le site d'Amazon pour vérifier s'il existait un client enregistré avec une telle adresse e-mail. La démarche est facilitée par les listes d'envies d'Amazon, qui permettent à quiconque de consulter les "wishlists" de leurs connaissances en saisissant simplement l'adresse e-mail (le but étant de permettre d'offrir un cadeau que la personne aimerait effectivement avoir, sans avoir à lui demander).
Trahi par sa passion pour Game Of Thrones
Une fois l'existence d'un compte Amazon vérifiée, SecureState a appelé le service clients d'Amazon en demandant à pouvoir ajouter un numéro de carte bancaire sur le compte, comme l'avait fait le hacker il y a un an. "Au moment de vérifier son identité, Geise (le consultant, ndlr) a dit au représentant d'Amazon qu'il avait oublié quel domicile il utilisait pour son compte, et il a parcouru la liste qu'il avait obtenu de Spokeo. Une correspondance a été trouvée, et il a pu ajouter un numéro de carte de crédit au compte", raconte CBS News.
30 minutes plus tard, le consultant a rappelé Amazon en expliquant qu'il avait perdu l'accès à son compte et à son adresse e-mail de secours, sur laquelle il est possible de se faire renvoyer un mot de passe. Pour vérifier qu'il était bien le titulaire du compte, Amazon lui a demandé de citer les 4 derniers chiffres d'une carte bancaire associée au compte. Facile, puisqu'il venait de l'ajouter une demie heure plus tôt.
Mais fort de l'expérience de l'an passé, Amazon a ajouté une question à sa procédure de sécurité. Le marchand a demandé à l'interlocuteur de citer également un achat effectué récemment. Le consultant, qui avait fait un travail préalable d'enquête sur sa cible, avait vu sur les réseaux sociaux que Erik Stolhanske était fan de Games Of Thrones, mais rien de plus. Pas de quoi être sûr d'un achat. Il a donc tenté sa chance très habilement, en assurant qu'il utilisait très peu le compte Amazon, mais que sa femme l'avait probablement utilisé récemment pour acheter un DVD ou un livre de Game Of Thrones. Coup de chance, c'était gagné.
Ayant l'accès au compte Amazon, le consultant a pu voir l'ensemble des cartes de crédit enregistrées avec le compte, ou plutôt aux 4 derniers chiffres de chaque carte. Il a alors pu se servir de ces informations pour prouver son identité auprès du fournisseur d'accès AOL, et ainsi gagner l'accès aux e-mails AOL de la cible, lesquels lui ont permis de demander un nouveau mot de passe à Apple, lequel lui a donné accès à la boîte e-mail principale d'Erik Stolhanske, etc., etc.
Il suffit ensuite de tirer le fil de la pelote de laine, jusqu'à accéder aux informations voulues.
Amazon pouvait-il faire mieux pour protéger son client ? Chacun jugera.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !