La mésaventure de Mat Honan, journaliste américain, doit servir d'enseignement. Il a en effet été victime d'un piratage étonnant, puisque l'assaillant s'est tout simplement fait passer pour lui lors de la procédure de réinitialisation de mot de passe. Les questions de sécurité ont été franchies sans difficulté apparente, et sans éveiller les soupçons d'Apple.

La sécurité en informatique ne peut reposer sur les seules épaules de l'utilisateur. Elle doit être aussi traitée avec le plus grand des sérieux par les entreprises, surtout celles qui se lancent dans l'hébergement de données personnelles à distance. Le cloud computing, qui est une tendance lourde dans l'informatique actuelle, l'exige, à la fois pour la fiabilité des systèmes comme pour la sécurité des informations.

Ainsi, si l'internaute doit prendre garde à ne pas utiliser le même mot de passe sur tous les services qu'il fréquente, il doit également en choisir des solides. De l'autre côté, le service doit prévoir des procédures de récupération de compte et d'assistance suffisamment efficaces pour filtrer les tentatives d'ingénierie sociale visant à s'emparer d'un profil ou de données privées.

iCloud piraté, puis les autres comptes

Or en l'état, il y a encore des progrès à faire. Le journaliste américain Mat Honan a raconté sa mésaventure sur son blog. En quelques minutes, un pirate est parvenu relativement facilement à avoir accès à son compte Cloud et à vider le contenu de ses différents appareils (un iPhone, un iPad et un MacBook Air). Même le compte Gmail a été piraté, dans la mesure où le compte Cloud sert de mail de secours, tout comme son profil Twitter.

La situation était donc critique pour Mat Honan. Le journaliste a donc contacté l'AppleCare pour signaler son problème, car le mot de passe choisi pour protéger son compte iCloud n'était pas si faible que ça : il était composé de sept caractères alphanumériques et n'avait jamais servi à protéger un autre compte. Bien sûr, une attaque par force brute est toujours envisageable mais nécessite du temps et de la puissance.

L'ingénierie sociale au cœur de l'attaque

Après une longue explication avec l'AppleCare, il a toutefois découvert le pot aux roses. Son identité a été usurpée par le pirate pour qu'il puisse tromper l'assistance de la firme de Cupertino. Point d'attaque par force brute ici, mais un petit malin ayant du répondant. Il a réussi avec (relative) facilité à se faire passer pour Mat Honan et franchir les différentes étapes de vérification pour réinitialiser le mot de passe.

Avec un nouveau mot de passe en poche, le pirate n'avait plus qu'à réinitialiser les mots de passe des comptes rattachés à iCloud et à lancer l'effacement des informations personnelles à distance de ces appareils, puisque ces derniers sont rattachés au compte. Et ensuite, il suffit de reproduire cette méthode en cascade, d'abord sur iCloud, puis sur Gmail. Et toute la vie numérique du journaliste est menacée.

Amazon comme porte d'entrée

Comme l'explique MacGénération, l'assaillant a eu l'idée de passer par Amazon – utilisé par le journaliste pour passer des commandes – afin de récupérer le numéro de carte de crédit. Une simple série d'appels téléphonies au centre technique du site de e-commerce pour obtenir l'accès au compte d'Amazon et mettre la main sur les 4 derniers chiffres, les autres étant masqués.

Ces 4 derniers chiffres ont été amplement suffisant pour tromper Apple, puisque l'assaillant n'a dû fournir que ceux-là pour vérifier son identité (les autres ne devant de toute façon jamais être communiqués, par mesure de sécurité). Il a ensuite pu donner l'adresse de facturation et de livraison, qui est celle du domicile de Mat Honan, pour déjouer les sécurités d'Apple.

Se faire passer pour le titulaire

Sur Wired, le journaliste explique la méthode du pirate. D'abord, il téléphone à Amazon qu'il est le propriétaire du compte et qu'il veut ajouter un numéro de carte de crédit. Il faut simplement fournir le nom du compte, l'adresse e-mail associée et l'adresse de facturation. Une fois ces éléments renseignés, Amazon autorise l'ajout d'un nouveau numéro de carte de crédit.

Ensuite, vous rappelez pour dire à Amazon que vous avez perdu l'accès à votre compte. Il faut alors fournir un nom, l'adresse de facturation et l'un des numéros de carte de crédit attaché au compte. Ici, c'est le nouveau qui est donné. Amazon va ensuite autoriser l'ajout d'une nouvelle adresse e-mail. Et avec celle-ci, il suffit de demander la réinitialisation du mot de passe du compte Amazon. Très bien pensé.

Retour à la normale

Depuis, les choses sont rentrées dans l'ordre pour Mat Honan. Les comptes Gmail et iCloud ont été récupérés et leur mot de passe a été modifié pour ne plus revivre une pareille expérience. Les données sur l'iPhone, l'iPad et le MacBook Air sont en  cours de restitution. Et le profil Twitter doit également être restitué. Plus de peur que de mal, donc, même si la conclusion aurait pu être beaucoup plus problématique pour le journaliste.

Mat Honan invite néanmoins Apple à se pencher sur ses procédures internes lorsqu'il s'agit de vérifier l'identité du propriétaire d'un compte, afin d'éviter que des pirates doués en ingénierie sociale parviennent à se faire passer pour ce qu'ils ne sont pas : les titulaires légitimes des comptes attaqués. Car dès lors qu'une brèche est faite, les ennuis peuvent survenir en cascade.

Partager sur les réseaux sociaux

Articles liés