Sécurité : Amazon peut offrir un accès à votre compte Apple

Nicolas Furno |
Mat Honan, journaliste chez Wired a perdu l'accès à sa vie numérique en se faisant hacker ses comptes Apple, Gmail et Twitter (lire : Sécurité : Apple a donné trop facilement accès à un compte iCloud). Dans un long article, il revient sur cet épisode malheureux et détaille la méthode utilisée par les malfaiteurs.



Ce qui frappe à la lecture de cet article, c'est la simplicité de la méthode mise en œuvre. Il ne s'agit pas de connaître des méthodes informatiques complexes, mais uniquement d'exploiter les failles du système. Les mots de passe de Mat Honan n'ont jamais été forcés, les hackeurs ont simplement commencé avec son compte Twitter. Par un lien vers son site, ils trouvent une adresse Gmail et ils ont fait une demande de réinitialisation de mot de passe.

Le journaliste n'ayant pas activé la vérification en deux étapes proposée par Google, ils ont pu accéder à l'adresse mail iCloud qui était enregistrée sur le compte Gmail comme adresse de secours. Cette option, à activer dans les réglages de sécurité du compte, ajoute votre numéro de téléphone dans l'équation : un code est envoyé par SMS sur votre téléphone pour valider le compte. Cette protection supplémentaire est indispensable pour assurer une meilleure sécurité de votre boîte mail.



À ce stade, les hackeurs avaient l'adresse Gmail et iCloud de leur cible. L'étape suivante consistait à récupérer deux informations personnelles : une adresse de facturation et les quatre derniers numéros de sa carte bleue. La première se retrouve assez facilement, ils ont utilisé dans ce cas le nom de domaine de Mat Honan qui est associé à une adresse postale.

Le numéro de carte bleue était un petit peu plus complexe à récupérer, mais beaucoup trop simple au regard des enjeux. La porte d'entrée cette fois était le compte Amazon du journaliste. Par une série d'appels au support technique de la boutique, les malfaiteurs ont obtenu un accès au compte de Mat Honan et donc aux quatre derniers chiffres de toutes les cartes bleues associées.


Pour le moment, Amazon donne un accès un peu trop simple à ces informations sensibles. Pour éviter tout problème, supprimez toutes les informations de paiement du site et saisissez-les manuellement à chaque commande.


Ces quelques informations personnelles en main, les hackeurs sont passés à l'action en appelant le support d'Apple. Ce dernier a simplement besoin du nom, de l'adresse de facturation et des quatre derniers chiffres de la carte bleue associée au compte pour débloquer ce dernier. Si vous avez ces informations, vous pouvez très facilement vous faire passer pour un autre et de fournir un mot de passe temporaire.

Avec celui-ci, les hackeurs ont eu accès à iCloud. Ils ont utilisé la fonction Localiser mon iPhone pour bloquer et effacer non seulement ses terminaux iOS, mais aussi son Mac qui lui servait autant pour le travail que pour ses données personnelles. En quelques minutes, Mat Honan avait perdu tous ses terminaux — écrans noirs impossibles à débloquer —, mais aussi des photos de sa fille qu'il n'avait jamais sauvegardées. Dans la foulée, les hackeurs ont pris le contrôle de son compte Twitter qui était d'ailleurs leur seul but, la suppression des appareils n'étant qu'un dommage collatéral pour lui bloquer tout accès.


Une fois que quelqu'un a accès à la fonction Localiser mon iPhone, il peut effacer tous les appareils associés au compte en quelques clics.


Au-delà de l'anecdote personnelle, cette histoire rappelle à quel point il faut être attentif à sa vie numérique à l'heure du cloud généralisé. Mat Honan avait fait une série d'erreurs qui ont permis aux hackeurs de réussir leur coup, mais cela peut arriver à tout le monde. Vous avez sûrement un compte iCloud, peut-être hérité d'un compte .Mac, et ce compte a pris une place plus importante que vous ne l'imaginez peut-être.

Pour éviter le cauchemar qu'a connu Mat Honan, voici quelques pistes à suivre :


  • activer la vérification en deux étapes de Google ;

  • supprimer l'enregistrement des moyens de paiement sur le site d'Amazon ;

  • éviter de toujours reprendre la même adresse mail (nicolas@gmail.com, nicolas@icloud.com, nicolas@hotmail.com, etc.) ;

  • ne jamais utiliser deux fois le même mot de passe et privilégiez des mots de passe générés aléatoirement que vous pourrez stocker avec 1Password ou un concurrent ;

  • désactiver la fonction "Localiser mon Mac" pour rendre l'effacement à distance impossible ;

  • sauvegarder toutes vos données régulièrement et sur un disque dur local.




En coupant la fonction "Localiser mon Mac", vous ne pourrez effacer à distance ou bloquer votre Mac, mais personne ne pourra le faire à votre place non plus.


Mat Honan a mis en valeur des failles de sécurité à la fois du côté d'Apple et d'Amazon. Pour l'heure, la méthode qu'il détaille dans Wired fonctionne toujours, mais Apple dit envisager de nouvelles mesures pour renforcer la sécurité de ses clients. Amazon, en revanche, ne s'est pas exprimée sur le sujet.
avatar Terrehapax | 

Chèr(e) Bottechouette,
Désolé de t'avoir fait de la peine, surtout qu'en fait tu dis la même chose que moi...
Comme Mecky (et toi apparemment) je trouve qu'il faut trop souvent se creuser la cervelle pour comprendre certaines réactions, parfois sans même y parvenir : comme perte de temps, ça me semble un *abus* plus grave qu'un (seul dans ce fil) malheureux HS, non ?

avatar BotteChouette56 | 

@Terrehapax

Alors pour commencer je ne vois pas en quoi je dis la même chose que toi, contrairement à toi je trouve que c'est assez rare de devoir se creuser les méninges pour lire un commentaire et le comprendre bien que cela arrive je te l'accorde.

Ensuite parlons du fait que TU as fais UN SEUL hors sujet sur CE FILS, alors c'est clair que tu as raison et que toi tu n'en fais peut être pas ailleurs (je n'ai pas été vérifier et n'irais pas) mais moi j'en vois plusieurs fois par jour et sur la majorité des fils de ce site. Sauf que les HS crées par les gens comme toi, le sont le plus souvent crées parce qu'il manque un accent (pas vraiment grave pour la compréhension du commentaire) ou de la ponctuation (un peu plus gênant mais en soit pas très grave non plus) alors oui je suis pour reprendre les personnes qui écrivent en SMS ou qui écrivent dans un charabias totalement incompréhensible mais pas pour reprendre à la moindre virgule, au moindre accent ou encore au moindre S oublié car même en se relisant il peut arriver que l'on passe à côté. Sache encore une fois qu'il y à l'art et la manière de dire quelque chose et qu'à mon sens dans ton commentaire tu n'as pas fais preuve de tac et j'irais même plus loin tu as carrément fais preuve d'un manque de respect pour moi.

Sur ce, c'est tombé sur toi car tu as été plus agressif que les autres je dirais mais j'ai déjà précisé que je n'avais rien contre toi. Maintenant je vais aller voir ailleurs si j'y suis, et cesser d'alimenter ce HS qui à bien grossis.
Cordialement.

avatar tbr | 

@bottechouette56 :
'@fousfous :
Et si on les connecte a n'importe quel WIFI tu les retrouves, le mec qui vole un iPad ou un Mac va pas le garder en décoration...
Même s'il le revend l'acheteur va forcément se connecter au wifi donc tu pourra le localiser.

Si on suit ton raisonnement autant ne même pas activé la fonction sur iPhone car le mec qui vol ton iPhone s'il l'allume pas tu le retrouve pas :D
Je ne comprends donc pas ton raisonnement.'

C'est pourtant simple à comprendre.

Admettons que je te pique ton matos "plombé" par l'application "localiser mon matos" en question. L'intérêt de la chose est bien d'éteindre la victime (ordi, iTruc, etc.) et de partir le plus vite et le plus loin possible du lieu du délit. Rien à f**tre de le rallumer et de se reconnecter si ton matos est à des milliers de km.

Et tu en connais beaucoup, toi, des flics qui iront se déplacer pour ton matériel chéri. Pas moi.
Quant à effacer tout à distance... Vouiii, do it ! Tu n'auras plus ton matos tout de même.

MAIS... Si tu peux le suivre dès le départ en temps réel, tu évites tous ces déboires inutiles et tu le récupères — gaffe au cassage de gueule si tu cherches ton matos toi-même — rapidement.

Reste que le moyen le plus simple est de ne pas se le faire voler. :-)

avatar Terrehapax | 

& Bottechouette
En fait, te répondre c'était également perdre son temps. En relisant tes nombreuses réactions, j'ai mieux compris pourquoi tu es de mauvaise foi et pourquoi tu t'es sentie visée par ma remarque -- la seule du fil et la seule que j'ai jamais faite sur le sujet du mépris pour les lecteurs de MacGé de la part de ceux qui ne relisent et/ou ne corrigent pas leur post avant de l'envoyer.

avatar 4web | 

Pour la fonction "Localiser mon XXX", si le voleur est un peu dégourdit, il éteindra directement l'appareil volé et le restaurera/réinstallera aussi vite. Donc, cette fonction devient totalement inutile puisque liée à l'identifiant Apple.

Je sais de quoi je parle puisque je me suis fait voler mon iPhone 3G il y a quelques années sans aucune chance de le localiser avec cette fonction.

Les personnes qui ont pu retrouver leur appareil ont eu la "chance" de tomber sur des voleurs pas très au fait de la technologie.

avatar BotteChouette56 | 

@Terrehapax :
Tu sais pas lire ou quoi ?

Je suis d'accord avec toi, tu n' as fais qu'une seul remarque mais d'autre avant toi et après toi le font quotidiennement sur d'autre sujets donc mes critiques se sont portés sur toi mais ça aurait pu tomber sur un autre fils et sur une autre personne.

As tu compris ?

avatar BotteChouette56 | 

@Terrehapax :
Et par exemple ta dernière phrase est difficilement compréhensible ... T'as oublié de te relire ?

avatar BotteChouette56 | 

@tbr :
'L'intérêt de la chose est bien d'éteindre la victime (ordi, iTruc, etc.) et de partir le plus vite et le plus loin possible du lieu du délit. Rien à f**tre de le rallumer et de se reconnecter si ton matos est à des milliers de km.'

Je ne pense pas que la majorité des appareils volés partent à des milliers de KMS, le plus souvent ils alimentent le marché "noir" de l'occasion et certains se retrouvent même sur des marché de l'occasion classique de ta ville... (Annonce sur LBC iPhone 4S sans chargeur et sans écouteurs à 300€... Parfait état) que dire ? Que donc si le mec le revend ton iPhone tu saura où il est.

Pages

CONNEXION UTILISATEUR