Sécurité : Amazon peut offrir un accès à votre compte Apple

Nicolas Furno |
Mat Honan, journaliste chez Wired a perdu l'accès à sa vie numérique en se faisant hacker ses comptes Apple, Gmail et Twitter (lire : Sécurité : Apple a donné trop facilement accès à un compte iCloud). Dans un long article, il revient sur cet épisode malheureux et détaille la méthode utilisée par les malfaiteurs.



Ce qui frappe à la lecture de cet article, c'est la simplicité de la méthode mise en œuvre. Il ne s'agit pas de connaître des méthodes informatiques complexes, mais uniquement d'exploiter les failles du système. Les mots de passe de Mat Honan n'ont jamais été forcés, les hackeurs ont simplement commencé avec son compte Twitter. Par un lien vers son site, ils trouvent une adresse Gmail et ils ont fait une demande de réinitialisation de mot de passe.

Le journaliste n'ayant pas activé la vérification en deux étapes proposée par Google, ils ont pu accéder à l'adresse mail iCloud qui était enregistrée sur le compte Gmail comme adresse de secours. Cette option, à activer dans les réglages de sécurité du compte, ajoute votre numéro de téléphone dans l'équation : un code est envoyé par SMS sur votre téléphone pour valider le compte. Cette protection supplémentaire est indispensable pour assurer une meilleure sécurité de votre boîte mail.



À ce stade, les hackeurs avaient l'adresse Gmail et iCloud de leur cible. L'étape suivante consistait à récupérer deux informations personnelles : une adresse de facturation et les quatre derniers numéros de sa carte bleue. La première se retrouve assez facilement, ils ont utilisé dans ce cas le nom de domaine de Mat Honan qui est associé à une adresse postale.

Le numéro de carte bleue était un petit peu plus complexe à récupérer, mais beaucoup trop simple au regard des enjeux. La porte d'entrée cette fois était le compte Amazon du journaliste. Par une série d'appels au support technique de la boutique, les malfaiteurs ont obtenu un accès au compte de Mat Honan et donc aux quatre derniers chiffres de toutes les cartes bleues associées.


Pour le moment, Amazon donne un accès un peu trop simple à ces informations sensibles. Pour éviter tout problème, supprimez toutes les informations de paiement du site et saisissez-les manuellement à chaque commande.


Ces quelques informations personnelles en main, les hackeurs sont passés à l'action en appelant le support d'Apple. Ce dernier a simplement besoin du nom, de l'adresse de facturation et des quatre derniers chiffres de la carte bleue associée au compte pour débloquer ce dernier. Si vous avez ces informations, vous pouvez très facilement vous faire passer pour un autre et de fournir un mot de passe temporaire.

Avec celui-ci, les hackeurs ont eu accès à iCloud. Ils ont utilisé la fonction Localiser mon iPhone pour bloquer et effacer non seulement ses terminaux iOS, mais aussi son Mac qui lui servait autant pour le travail que pour ses données personnelles. En quelques minutes, Mat Honan avait perdu tous ses terminaux — écrans noirs impossibles à débloquer —, mais aussi des photos de sa fille qu'il n'avait jamais sauvegardées. Dans la foulée, les hackeurs ont pris le contrôle de son compte Twitter qui était d'ailleurs leur seul but, la suppression des appareils n'étant qu'un dommage collatéral pour lui bloquer tout accès.


Une fois que quelqu'un a accès à la fonction Localiser mon iPhone, il peut effacer tous les appareils associés au compte en quelques clics.


Au-delà de l'anecdote personnelle, cette histoire rappelle à quel point il faut être attentif à sa vie numérique à l'heure du cloud généralisé. Mat Honan avait fait une série d'erreurs qui ont permis aux hackeurs de réussir leur coup, mais cela peut arriver à tout le monde. Vous avez sûrement un compte iCloud, peut-être hérité d'un compte .Mac, et ce compte a pris une place plus importante que vous ne l'imaginez peut-être.

Pour éviter le cauchemar qu'a connu Mat Honan, voici quelques pistes à suivre :


  • activer la vérification en deux étapes de Google ;

  • supprimer l'enregistrement des moyens de paiement sur le site d'Amazon ;

  • éviter de toujours reprendre la même adresse mail (nicolas@gmail.com, nicolas@icloud.com, nicolas@hotmail.com, etc.) ;

  • ne jamais utiliser deux fois le même mot de passe et privilégiez des mots de passe générés aléatoirement que vous pourrez stocker avec 1Password ou un concurrent ;

  • désactiver la fonction "Localiser mon Mac" pour rendre l'effacement à distance impossible ;

  • sauvegarder toutes vos données régulièrement et sur un disque dur local.




En coupant la fonction "Localiser mon Mac", vous ne pourrez effacer à distance ou bloquer votre Mac, mais personne ne pourra le faire à votre place non plus.


Mat Honan a mis en valeur des failles de sécurité à la fois du côté d'Apple et d'Amazon. Pour l'heure, la méthode qu'il détaille dans Wired fonctionne toujours, mais Apple dit envisager de nouvelles mesures pour renforcer la sécurité de ses clients. Amazon, en revanche, ne s'est pas exprimée sur le sujet.
avatar Hasgarn | 

Euh carton rouge Amazon…
Je vais aller faire un petit tour dans mes préférences…

avatar jojo999922 | 

Attention avant d'activer la validation en deux étape , toujours avoir deux numéro enregister, pas utiliser Google authtificator et aussi toujours connaître le mois ET l'année de création de sont compte mail et aussi le mois et l'année ou l'on a appuyer pour la première foie sur Google document, et agenda !!!!'
En Gros personne ne peut le faire !
Je m'explique : une offre quadruple play on change de numéro de portable comme de fix ; et sont iPhone qui plante : obliger de le réinitialiser et BIM perdu 8000 mail ! Plus les document stocker !!!!

avatar Arlekin | 

Un joli effet domino !

Comment quoi il faut éviter de mettre tous ces comptes en relation car il y aura toujours un pour donner la réponse à un autre et ainsi de suite.

Moins on laisse de trace mieux cela est.

avatar Dwigt | 

Bigre, il a pas très bien vieilli, Harry Potter...

avatar kaizo33 | 

@jojo999922
plusieurs choix :
- un numéro secondaire possible voir plus (pourvoir recevoir un sms ou un appel automatique sur ligne fixe). J'ai mis mon numéro de fixe en seconde avec appel qui me dicte le code si besoin.
- et les codes de validation de secours si tu n'a pas accès à ton mobile ni ton fixe

message de la faq sur google en deux étapes :
[quote]
Codes de secours à imprimer
Attention : Si votre téléphone n'est pas disponible, vous ne pourrez vous connecter à votre compte qu'avec ces codes. Conservez-les dans un endroit facilement accessible, tel que votre portefeuille.
[/quote]

avatar Marksanders | 

Le pauvre bichons mes sauvegardes sont tous sur d dur,photo music vidéo le reste je m'en tape y'a des assurances pour ça !!!

avatar fousfous | 

Pour find m'y iPhone je n'ai mis que mon iPhone qui est le seul à avoir la 3G et le GPS.
Pour les autres appareils ça ne sert pas à grand chose car si on les déplaces ils n'ont plus de connexions internet.

avatar denmakesmusic | 

C'est incroyable comment les questions posées par les logiciels sont incompréhensibles pour le lambda :

"Autoriser Localiser mon Mac à utiliser ..."

Ils auraient pu mettre "l'application 'Localiser mon Mac' en utilisant une police spéciale. Apple ne fait plus attention aux petits détails.

Sinon pour le problème évoqué, il y a une solution simple : ne pas utiliser iCloud et autre serveurs qui s'approprient vos données.

avatar BotteChouette56 | 

@fousfous :
Et si on les connecte a n'importe quel WIFI tu les retrouves, le mec qui vole un iPad ou un Mac va pas le garder en décoration...
Même s'il le revend l'acheteur va forcément se connecter au wifi donc tu pourra le localiser.

Si on suit ton raisonnement autant ne même pas activé la fonction sur iPhone car le mec qui vol ton iPhone s'il l'allume pas tu le retrouve pas :D
Je ne comprends donc pas ton raisonnement.

avatar BotteChouette56 | 

@denmakesmusic :
Autant ne plus utiliser internet alors car tu es tracé partout, tu as ton propre serveur pour tes mail ? Tu as ton propre grossiste qui te livre tes vêtements ?
Faut arrêter avec le cloud, c'est juste à chacun de prendre ses précaution comme dans la vrai vie c'est tout.

avatar Damze | 

Sacré chemin pour en arriver là.
Je ne comprend juste pas pourquoi les hackers n'ont pas "hacké" sa carte bleue vu qu'ils avaient accès à son compte amazon.

Désactiver localiser mon mac/iPhone c'est juste impensable pour moi, ça me rassure en cas de perte/vol ;)

avatar Mathias10 | 

Je ne désactiverais pas "localiser mon mac" mais surement est-il possible de désactiver l'effacement à distance.

Mais franchement, Il y a des sécurités sur twitter et facebook, on reçoit un mail si quelqu'un se connecte dessus depuis un autre appareil il faut donc immédiatement réagir....donc déjà son histoire semble plus une tentative de buzz qui a fonctionné qu'autre chose.

avatar Mathias10 | 

@fousfous

C'est pour ça qu'il faut utiliser les logiciels permettant de se connecter automatiquement aux freewifi, sfr, bouygues etc...chope des identifiants dans ton entourage, et ton mac tu retrouveras :-)

avatar BotteChouette56 | 

@mathias10 :
'Je ne désactiverais pas "localiser mon mac" mais surement est-il possible de désactiver l'effacement à distance.
'
Pas possible.

avatar BotteChouette56 | 

@mathias10 :
'Mais franchement, Il y a des sécurités sur twitter et facebook, on reçoit un mail '

Ah bon je reçois rien quand je me connecte sur les téléphone de certains collègues quand j'ai plus de batterie.

avatar DarKOrange | 

Il y a quelque chose de pas logique dans l'enchaînement de ces événements.
Comment ont ils pu avoir le mot de passe gmail si celui-ci a été envoyé sur l'adresse de secours iCloud alors qu'ils n'avaient pas encore accès à ce compte ?

avatar Akerloof | 

Moi j'utilise Google authenticator, infaillible car il leur faudrait mon téléphone+le code du téléphone+mon mot de passe initial..
En plus google désactive l'accès depuis certains pays suspects (et même certains IP suspects, j'ai déjà eu le coup en utilisant un VPN, et impossible d'accéder au service gmail)

avatar burninghat | 

[quote]désactiver la fonction "Localiser mon Mac" pour rendre l'effacement à distance impossible[/quote] me parait être un très mauvais conseil. Il suffit de vraiment bien sauvegarder toutes ses données régulièrement sur un autre support (Time Machine, et autres, ne sont pas fait pour les chiens comme on dit) et au moins si on te vole ton mac ou si ton disque crash ou qu'un sal*pard te l'efface à distance, bah t'as ton backup. Et dans le cas d'un vol, au moins tu pourras t'assurer que le voleur n'a pas accès à tes données.

Bref, très mauvais conseil à mon avis.

avatar Buf000 | 

@darkorange : le mot de passe Gmail a été récupéré tout à la fin, après avoir eu l'accès au compte iCloud.

Par contre, Gmail a permis d'obtenir l'adresse iCloud. En effet, une fois l'adresse Gmail connue, il suffit d'utiliser l'outil de récupération de mot de passe. Il y a une option pour envoyer un lien de réinitialisation sur l'adresse email de secours enregistrée, adresse qui est affichée partiellement. J'ai fait le test, sur mon compte Gmail, j'obtiens lau••••••••••@bu•••••.com

Dans le cas dont on parle ici, l'info donnée par Gmail a été suffisante pour deviner l'adresse iCloud.

avatar Designer_Drugs | 

Euh ouais... Mettons la faute sur Apple mais ce genre de questions, chaque service client le demande & jusqu'à preuve du contraire c'était Amazon & compagnie qui ont procurées les informations pour les Hackeurs...
Enfin je veux dire que ce n'est pas " vraiment " la faute à Apple.
Nous aurions pu nous faire avoir de la même manière, c'est relativement simple... Bon moi chaque compte à un mot de passe vraiment différent & compliqué... & aucune carte bleue n'est enregistré. Mais voilà...
D'ailleurs c'est tellement pourris est méchant... Le mec perd les photos de sa fille & tous le reste.
Enfin...

avatar Gueven | 

@Damze :
ils n'y a que les premiers numéro de la carte bleue qui sont dispo (heureusement).

avatar ArchiArchibald | 

Ne pas utiliser Gmail me semble beaucoup plus efficace. Ni Amazon. Perso, n'étant client ni de Google ni d'Amazon, je ne pourrai pas vivre ce problème !

avatar BotteChouette56 | 

@gueven :
Les 4 dernier ;)

avatar BotteChouette56 | 

@designer_drugs :
'D'ailleurs c'est tellement pourris est méchant... Le mec perd les photos de sa fille & tous le reste.'

Un professionnel comme lui devrait penser à faire des sauvegardes régulières....

avatar BotteChouette56 | 

@mathias10 :
'Mais franchement, Il y a des sécurités sur twitter et facebook, on reçoit un mail si quelqu'un se connecte dessus depuis un autre appareil il faut donc immédiatement réagir....donc déjà son histoire semble plus une tentative de buzz qui a fonctionné qu'autre chose.'

Et puis ils ont effacer tout les appareils avant d'accéder au compte Twitter donc pour les mail j'ai envie de dire que c'est mort pour les lire...

Pages

CONNEXION UTILISATEUR