Sécurité : Amazon peut offrir un accès à votre compte Apple

Nicolas Furno |
Mat Honan, journaliste chez Wired a perdu l'accès à sa vie numérique en se faisant hacker ses comptes Apple, Gmail et Twitter (lire : Sécurité : Apple a donné trop facilement accès à un compte iCloud). Dans un long article, il revient sur cet épisode malheureux et détaille la méthode utilisée par les malfaiteurs.



Ce qui frappe à la lecture de cet article, c'est la simplicité de la méthode mise en œuvre. Il ne s'agit pas de connaître des méthodes informatiques complexes, mais uniquement d'exploiter les failles du système. Les mots de passe de Mat Honan n'ont jamais été forcés, les hackeurs ont simplement commencé avec son compte Twitter. Par un lien vers son site, ils trouvent une adresse Gmail et ils ont fait une demande de réinitialisation de mot de passe.

Le journaliste n'ayant pas activé la vérification en deux étapes proposée par Google, ils ont pu accéder à l'adresse mail iCloud qui était enregistrée sur le compte Gmail comme adresse de secours. Cette option, à activer dans les réglages de sécurité du compte, ajoute votre numéro de téléphone dans l'équation : un code est envoyé par SMS sur votre téléphone pour valider le compte. Cette protection supplémentaire est indispensable pour assurer une meilleure sécurité de votre boîte mail.



À ce stade, les hackeurs avaient l'adresse Gmail et iCloud de leur cible. L'étape suivante consistait à récupérer deux informations personnelles : une adresse de facturation et les quatre derniers numéros de sa carte bleue. La première se retrouve assez facilement, ils ont utilisé dans ce cas le nom de domaine de Mat Honan qui est associé à une adresse postale.

Le numéro de carte bleue était un petit peu plus complexe à récupérer, mais beaucoup trop simple au regard des enjeux. La porte d'entrée cette fois était le compte Amazon du journaliste. Par une série d'appels au support technique de la boutique, les malfaiteurs ont obtenu un accès au compte de Mat Honan et donc aux quatre derniers chiffres de toutes les cartes bleues associées.


Pour le moment, Amazon donne un accès un peu trop simple à ces informations sensibles. Pour éviter tout problème, supprimez toutes les informations de paiement du site et saisissez-les manuellement à chaque commande.


Ces quelques informations personnelles en main, les hackeurs sont passés à l'action en appelant le support d'Apple. Ce dernier a simplement besoin du nom, de l'adresse de facturation et des quatre derniers chiffres de la carte bleue associée au compte pour débloquer ce dernier. Si vous avez ces informations, vous pouvez très facilement vous faire passer pour un autre et de fournir un mot de passe temporaire.

Avec celui-ci, les hackeurs ont eu accès à iCloud. Ils ont utilisé la fonction Localiser mon iPhone pour bloquer et effacer non seulement ses terminaux iOS, mais aussi son Mac qui lui servait autant pour le travail que pour ses données personnelles. En quelques minutes, Mat Honan avait perdu tous ses terminaux — écrans noirs impossibles à débloquer —, mais aussi des photos de sa fille qu'il n'avait jamais sauvegardées. Dans la foulée, les hackeurs ont pris le contrôle de son compte Twitter qui était d'ailleurs leur seul but, la suppression des appareils n'étant qu'un dommage collatéral pour lui bloquer tout accès.


Une fois que quelqu'un a accès à la fonction Localiser mon iPhone, il peut effacer tous les appareils associés au compte en quelques clics.


Au-delà de l'anecdote personnelle, cette histoire rappelle à quel point il faut être attentif à sa vie numérique à l'heure du cloud généralisé. Mat Honan avait fait une série d'erreurs qui ont permis aux hackeurs de réussir leur coup, mais cela peut arriver à tout le monde. Vous avez sûrement un compte iCloud, peut-être hérité d'un compte .Mac, et ce compte a pris une place plus importante que vous ne l'imaginez peut-être.

Pour éviter le cauchemar qu'a connu Mat Honan, voici quelques pistes à suivre :


  • activer la vérification en deux étapes de Google ;

  • supprimer l'enregistrement des moyens de paiement sur le site d'Amazon ;

  • éviter de toujours reprendre la même adresse mail (nicolas@gmail.com, nicolas@icloud.com, nicolas@hotmail.com, etc.) ;

  • ne jamais utiliser deux fois le même mot de passe et privilégiez des mots de passe générés aléatoirement que vous pourrez stocker avec 1Password ou un concurrent ;

  • désactiver la fonction "Localiser mon Mac" pour rendre l'effacement à distance impossible ;

  • sauvegarder toutes vos données régulièrement et sur un disque dur local.




En coupant la fonction "Localiser mon Mac", vous ne pourrez effacer à distance ou bloquer votre Mac, mais personne ne pourra le faire à votre place non plus.


Mat Honan a mis en valeur des failles de sécurité à la fois du côté d'Apple et d'Amazon. Pour l'heure, la méthode qu'il détaille dans Wired fonctionne toujours, mais Apple dit envisager de nouvelles mesures pour renforcer la sécurité de ses clients. Amazon, en revanche, ne s'est pas exprimée sur le sujet.

avatar Hasgarn | 

Euh carton rouge Amazon…
Je vais aller faire un petit tour dans mes préférences…

avatar jojo999922 | 

Attention avant d'activer la validation en deux étape , toujours avoir deux numéro enregister, pas utiliser Google authtificator et aussi toujours connaître le mois ET l'année de création de sont compte mail et aussi le mois et l'année ou l'on a appuyer pour la première foie sur Google document, et agenda !!!!'
En Gros personne ne peut le faire !
Je m'explique : une offre quadruple play on change de numéro de portable comme de fix ; et sont iPhone qui plante : obliger de le réinitialiser et BIM perdu 8000 mail ! Plus les document stocker !!!!

avatar Arlekin | 

Un joli effet domino !

Comment quoi il faut éviter de mettre tous ces comptes en relation car il y aura toujours un pour donner la réponse à un autre et ainsi de suite.

Moins on laisse de trace mieux cela est.

avatar Dwigt | 

Bigre, il a pas très bien vieilli, Harry Potter...

avatar kaizo33 | 

@jojo999922
plusieurs choix :
- un numéro secondaire possible voir plus (pourvoir recevoir un sms ou un appel automatique sur ligne fixe). J'ai mis mon numéro de fixe en seconde avec appel qui me dicte le code si besoin.
- et les codes de validation de secours si tu n'a pas accès à ton mobile ni ton fixe

message de la faq sur google en deux étapes :
[quote]
Codes de secours à imprimer
Attention : Si votre téléphone n'est pas disponible, vous ne pourrez vous connecter à votre compte qu'avec ces codes. Conservez-les dans un endroit facilement accessible, tel que votre portefeuille.
[/quote]

avatar Marksanders | 

Le pauvre bichons mes sauvegardes sont tous sur d dur,photo music vidéo le reste je m'en tape y'a des assurances pour ça !!!

avatar fousfous | 

Pour find m'y iPhone je n'ai mis que mon iPhone qui est le seul à avoir la 3G et le GPS.
Pour les autres appareils ça ne sert pas à grand chose car si on les déplaces ils n'ont plus de connexions internet.

avatar denmakesmusic | 

C'est incroyable comment les questions posées par les logiciels sont incompréhensibles pour le lambda :

"Autoriser Localiser mon Mac à utiliser ..."

Ils auraient pu mettre "l'application 'Localiser mon Mac' en utilisant une police spéciale. Apple ne fait plus attention aux petits détails.

Sinon pour le problème évoqué, il y a une solution simple : ne pas utiliser iCloud et autre serveurs qui s'approprient vos données.

avatar BotteChouette56 | 

@fousfous :
Et si on les connecte a n'importe quel WIFI tu les retrouves, le mec qui vole un iPad ou un Mac va pas le garder en décoration...
Même s'il le revend l'acheteur va forcément se connecter au wifi donc tu pourra le localiser.

Si on suit ton raisonnement autant ne même pas activé la fonction sur iPhone car le mec qui vol ton iPhone s'il l'allume pas tu le retrouve pas :D
Je ne comprends donc pas ton raisonnement.

avatar BotteChouette56 | 

@denmakesmusic :
Autant ne plus utiliser internet alors car tu es tracé partout, tu as ton propre serveur pour tes mail ? Tu as ton propre grossiste qui te livre tes vêtements ?
Faut arrêter avec le cloud, c'est juste à chacun de prendre ses précaution comme dans la vrai vie c'est tout.

avatar Damze | 

Sacré chemin pour en arriver là.
Je ne comprend juste pas pourquoi les hackers n'ont pas "hacké" sa carte bleue vu qu'ils avaient accès à son compte amazon.

Désactiver localiser mon mac/iPhone c'est juste impensable pour moi, ça me rassure en cas de perte/vol ;)

avatar Mathias10 | 

Je ne désactiverais pas "localiser mon mac" mais surement est-il possible de désactiver l'effacement à distance.

Mais franchement, Il y a des sécurités sur twitter et facebook, on reçoit un mail si quelqu'un se connecte dessus depuis un autre appareil il faut donc immédiatement réagir....donc déjà son histoire semble plus une tentative de buzz qui a fonctionné qu'autre chose.

avatar Mathias10 | 

@fousfous

C'est pour ça qu'il faut utiliser les logiciels permettant de se connecter automatiquement aux freewifi, sfr, bouygues etc...chope des identifiants dans ton entourage, et ton mac tu retrouveras :-)

avatar BotteChouette56 | 

@mathias10 :
'Je ne désactiverais pas "localiser mon mac" mais surement est-il possible de désactiver l'effacement à distance.
'
Pas possible.

avatar BotteChouette56 | 

@mathias10 :
'Mais franchement, Il y a des sécurités sur twitter et facebook, on reçoit un mail '

Ah bon je reçois rien quand je me connecte sur les téléphone de certains collègues quand j'ai plus de batterie.

avatar DarKOrange | 

Il y a quelque chose de pas logique dans l'enchaînement de ces événements.
Comment ont ils pu avoir le mot de passe gmail si celui-ci a été envoyé sur l'adresse de secours iCloud alors qu'ils n'avaient pas encore accès à ce compte ?

avatar Akerloof | 

Moi j'utilise Google authenticator, infaillible car il leur faudrait mon téléphone+le code du téléphone+mon mot de passe initial..
En plus google désactive l'accès depuis certains pays suspects (et même certains IP suspects, j'ai déjà eu le coup en utilisant un VPN, et impossible d'accéder au service gmail)

avatar burninghat | 

[quote]désactiver la fonction "Localiser mon Mac" pour rendre l'effacement à distance impossible[/quote] me parait être un très mauvais conseil. Il suffit de vraiment bien sauvegarder toutes ses données régulièrement sur un autre support (Time Machine, et autres, ne sont pas fait pour les chiens comme on dit) et au moins si on te vole ton mac ou si ton disque crash ou qu'un sal*pard te l'efface à distance, bah t'as ton backup. Et dans le cas d'un vol, au moins tu pourras t'assurer que le voleur n'a pas accès à tes données.

Bref, très mauvais conseil à mon avis.

avatar Buf000 | 

@darkorange : le mot de passe Gmail a été récupéré tout à la fin, après avoir eu l'accès au compte iCloud.

Par contre, Gmail a permis d'obtenir l'adresse iCloud. En effet, une fois l'adresse Gmail connue, il suffit d'utiliser l'outil de récupération de mot de passe. Il y a une option pour envoyer un lien de réinitialisation sur l'adresse email de secours enregistrée, adresse qui est affichée partiellement. J'ai fait le test, sur mon compte Gmail, j'obtiens lau••••••••••@bu•••••.com

Dans le cas dont on parle ici, l'info donnée par Gmail a été suffisante pour deviner l'adresse iCloud.

avatar Designer_Drugs | 

Euh ouais... Mettons la faute sur Apple mais ce genre de questions, chaque service client le demande & jusqu'à preuve du contraire c'était Amazon & compagnie qui ont procurées les informations pour les Hackeurs...
Enfin je veux dire que ce n'est pas " vraiment " la faute à Apple.
Nous aurions pu nous faire avoir de la même manière, c'est relativement simple... Bon moi chaque compte à un mot de passe vraiment différent & compliqué... & aucune carte bleue n'est enregistré. Mais voilà...
D'ailleurs c'est tellement pourris est méchant... Le mec perd les photos de sa fille & tous le reste.
Enfin...

avatar Gueven | 

@Damze :
ils n'y a que les premiers numéro de la carte bleue qui sont dispo (heureusement).

avatar ArchiArchibald | 

Ne pas utiliser Gmail me semble beaucoup plus efficace. Ni Amazon. Perso, n'étant client ni de Google ni d'Amazon, je ne pourrai pas vivre ce problème !

avatar BotteChouette56 | 

@gueven :
Les 4 dernier ;)

avatar BotteChouette56 | 

@designer_drugs :
'D'ailleurs c'est tellement pourris est méchant... Le mec perd les photos de sa fille & tous le reste.'

Un professionnel comme lui devrait penser à faire des sauvegardes régulières....

avatar BotteChouette56 | 

@mathias10 :
'Mais franchement, Il y a des sécurités sur twitter et facebook, on reçoit un mail si quelqu'un se connecte dessus depuis un autre appareil il faut donc immédiatement réagir....donc déjà son histoire semble plus une tentative de buzz qui a fonctionné qu'autre chose.'

Et puis ils ont effacer tout les appareils avant d'accéder au compte Twitter donc pour les mail j'ai envie de dire que c'est mort pour les lire...

avatar Gueven | 

@bottechouette56

Heu oui :)

avatar bibibenate | 

Sans vouloir verser dans la théorie du complot, je me demande si cette affaire s'est réellement passée.
Ne serait-ce pas un simple enchainement théorique, tout à fait plausible et réalisable d'ailleurs (cf hacking du mail de Scarlett Johanson), raconté par un journaliste spécialiste du monde numérique.
Cela donne toujours plus de crédit à une histoire et fait plus de buzz de dire que ça m'est arrivé plutôt que c'est arrivé au cousin de mon grand oncle ou que ça pourrait arriver.
En fait je me demande quel est le mobile du crime :-)
Derrière une performance comme celle-ci il y a souvent une volonté de la communiquer voire de l'exhiber, là les types ont bossé comme des fous pendant des heures pour quoi au final ? effacer les photos d'un journaliste ?? les mettre sur le net je comprends mais les effacer, quel intérêt ?
Soit c'est nul soit je serai toujours étonné du temps qu'on a perdre certaines personnes !

avatar BotteChouette56 | 

@bibibenate :
Le but (c'est écris dans l'article) était de prendre le contrôle du compte Twitter de cette personne.

avatar Buf000 | 

@designer_drugs

C'est la faute à Amazon et pas à Apple ? Pourtant, les deux sociétés ont fait *exactement* la même erreur, qui est de vérifier insuffisamment l'identité de l'utilisateur avant de lui donner accès au compte. Match nul à ce niveau-là.

@bibibenate

Perso, je n'ai aucun doute sur la véracité de l'histoire. Tu pourrais être étonné de l'énergie que certaines personnes sont capables de déployer juste pour faire chier le monde. Le mobile tient en trois mots : "for the lulz".

avatar Le docteur | 

Donc, si j'ai bien compris, pour sécuriser son compte sur Google il faut leur filer notre numéro de téléphone en plus... ?

avatar BotteChouette56 | 

@Buf000 :
Ils ne font pas du tout la même erreur, Amazon expose les quatre derniers chiffre de la carte bancaire, ce qui donne accès au compte Apple, mais finalement toute les entreprise ou presque font ça, Microsoft sur la Xbox, Apple sur les paramètres de compte iTunes, à la FNAC ;)

Mais pour l'exemple donné Amazon à fait deux bourdes.

avatar Steeve J. | 

Cette histoire commence à sentir mauvais ???
Car petit à petit les infos ne sont plus les mêmes et plusieurs facteurs changent après coup ?
Mais peut être on connaîtra le fin mot de l'histoire un jour ?

avatar Buf000 | 

@bottechouette56

Ce que je veux dire, c'est que dans l'histoire, c'est avant tout les procédure de récupération de mot de passe qui sont en cause, en ne vérifiant pas assez sérieusement l'identité de l'utilisateur. Et à ce niveau, Apple et Amazon sont à égalité, ça a merdé chez les deux en permettant à quelqu'un d'accéder à un compte qui ne lui appartient pas avec finalement très peu d'informations (dont une bonne partie est facilement accessible)

avatar Stech72 | 

Mon point d’interrogation se situe à ce niveau ...

Comment le mec , la victime a t’il peut découvrir la méthode que les cracks du détournement ont prise pour parvenir a leur fin .... Est-ce que ils (les vandales) on posté leur façon de faire au gars de Wired ou bien Mat Honan a deviné le tout, tout seul comme un grand !?!

Regardez; dans l’ensemble de cette histoire il y a quelque chose qui cloche … Je doute de plus en plus de ce "hack" qui je ne dit pas impossible au contraire on y décrit très bien la methode TROP BIEN même … mais je ne suis pas près de dire que tout cela n'est pas monté par le gars des vues ..

avatar Steeve J. | 

@Stech72 :
Ouf je suis pas seul a penser cela

avatar Buf000 | 

@Stech72

Il suffit de lire l'article pour avoir la réponse : l'attaquant a pris contact avec Mat Honan via Twitter et lui a expliqué comment il avait procédé.

avatar Stech72 | 

@Buf000
Effectivement merci … bref c'est comme l'histoire du gars qui a oublier le iPhone dans un bar et que ce dernier s'est rammassé comme par magie chez Gizmodo ….

On te hack par une technique complètement tordu pour accèder à ton Twitter ….. En gros pour te faire une merde d'enfer et regarde comment on s'y est pris …. ouin …… ça cloche

En ce qui me concerne , être enquêteur chez Amazon .. Mat Honan ferait partie des suspects ……..

avatar Frodor | 

@jojo999922 :
je ne comprends pas très bien ce que tu veux dire ...

avatar BotteChouette56 | 

@Buf000 :
Complètement d'accord alors ;)

avatar Pear | 

@Le docteur
[quote]Donc, si j'ai bien compris, pour sécuriser son compte sur Google il faut leur filer notre numéro de téléphone en plus... ?[/quote]
Ben oui sinon comment tu veux sécuriser ton compte ?
Avec un-mot-de-passe-super-compliqué-à-retenir-dans-ta-tête ?

avatar Thalantas | 

Je suis vraiment contre la désactivation de Find my iPhone.

Vous avez infiniment plus de "mal" chance de vous faire voler votre téléphone / iPad / Macbook que de vous faire hacker par des petits futés mal intentionnés...

Vous serez bien heureux de pouvoir, aux moins, bloquer votre Apple Device et au mieux tout effacer a distance pour ne pas que vos données soit utilisées d'une façon non souhaité...

avatar Terrehapax | 

C'est quand on lit tous les commentaires pourris ci-dessus que l'on comprend que l'orthographe (y compris les accents, feignants !) et la ponctuation n'existent pas par hasard mais POUR SE FAIRE COMPRENDRE. Si vous vous en foutez, n'écrivez rien, ça économisera du temps aux lecteurs de MacGé !

avatar BotteChouette56 | 

@Terrehapax :
Cette manie à critiquer de plus en m'agace et ce n'est pas que toi, en ce moment ces critiques envers un orthographe et une syntaxe approximatifs se multiplient, mais dans le fond qui n'en fait pas ? Tout le monde en fait à un moment ou un autre en revanche je comprends tout à fait les critiques lorsque quelqu'un écrit en langage SMS ou alors qu'il fait plusieurs fautes par lignes. Certes la ponctuation et les accents ne sont pas faits pour rien mais où va t'on si on fait un hors sujet sur chaque article à la moindre faute d'orthographe !!! Quel en est l'utilité hormis faire C...R son monde quoi ?!

avatar BotteChouette56 | 

@Terrehapax :
'Si vous vous en foutez, n'écrivez rien, ça économisera du temps aux lecteurs de MacGé !'

Et pour qui te prends tu a dire ça ? Ce n'est pas parce que nous n'écrivons pas parfaitement bien que nous ne somme pas lecteur de MacGé !!! Je lis assidûment MacGé et chaque article mais ne suis pas irréprochable sur l'orthographe c'est pourquoi je ne critique pas à tout bout de champ pour un accent ou une virgule !

avatar glvc | 

ben je me suis fait voler mon iphone en me disant tiens je vais checker sur find my iphone et verrouiller l'histoire ben résultat j'attend depuis le 2 juillet et je pense que je peux toujours attendre ...

avatar swa | 

Désactiver "Localiser mon mac" ?? Vous êtes sérieux ?
Je me suis fait volé mon mac dans une bibliothèque il y a 1 mois et demi et j'ai été bien content de pouvoir m'en servir!

Est-ce que vous vous rendez compte de ce que vous écrivez parfois ?

avatar magic.ludovic | 

Un journaliste qui ne fait pas de sauvegardes sur un/des disque(s) externe(s) de secours ... ça existe ? Si oui vraiment : ça fait peur ...

avatar Mecky | 

à bottechouette56 [hors sujet]
Dans ce fil de discussion, plusieurs réactions étaient vraiment pénibles... à déchiffrer. Une faute par-ci, par-là, d'accord. Mais lorsqu'il faut se creuser les méninges pour comprendre, cela frise le ridicule. La communication ne passe pas. [fin du hors sujet]

Dans les conseils donnés, j'aurais mis le dernier (faire ses sauvegardes) en première position. Et comme beaucoup l'on écrit, je ne désactiverais pas la fonction « find my mac ».

Sur le fait de récupérer un compte trop facilement, il est clair que Apple comme Amazon sont en tort.

Par contre, de là, la possibilité de faire librement ses emplettes sur le store d'Amazon avec le compte auquel les cartes bancaires sont associées = vol matériel qui peut mener loin !
Et je suppose que la même chose aurait pu être fait sur le compte iTunes, AppStore, etc..

À la liste déjà longue, j'ajouterais donc un conseil (évoqué dans une autre réaction ci-avant) : ne jamais activer les achats « one click » !

avatar BotteChouette56 | 

@Mecky :
Pour ce qui est des sauvegarde je suis totalement d'accord avec toi, c'est PRIMORDIALE.

Pour le HS je me suis permis de poste mon commentaire car j'ai remarqué que sur chaque article, dans les commentaire il y en a toujours un pour dire "t'as fais une faute" ça devient vraiment chiant à lire ces hors sujet pour pas grands chose souvent, après je suis d'accord quand c'est illisible et incompréhensible ok mais je trouve qu'il y de l'abus. C'est presque une nouvelle mode. Bref sa manière de parler m'a en plus irrité car quand on méprise comme il l'a fait, tout ce qu'on mérite ces de se faire reprendre.

avatar oMc | 

Vous m'avez fait devenir parano chez MacG. Je viens d'activer la vérification Google en deux étapes, et je suis passé à 1Password pour générer et gérer des mots de passes complexes et uniques à chacun des sites que je fréquente le plus.

Mais c'est une bonne chose, donc merci MacG =)

Pages

CONNEXION UTILISATEUR