|
|
Un journaliste piraté : Apple mis en cause, Amazon coupable La mésaventure de Mat Honan, journaliste américain, doit servir d'enseignement. Il a en effet été victime d'un piratage étonnant, puisque l'assaillant s'est tout simplement fait passer pour lui lors de la procédure de réinitialisation de mot de passe. Les questions de sécurité ont été franchies sans difficulté apparente, et sans éveiller les soupçons d'Apple.
Ainsi, si l'internaute doit prendre garde à ne pas utiliser le même mot de passe sur tous les services qu'il fréquente, il doit également en choisir des solides. De l'autre côté, le service doit prévoir des procédures de récupération de compte et d'assistance suffisamment efficaces pour filtrer les tentatives d'ingénierie sociale visant à s'emparer d'un profil ou de données privées. iCloud piraté, puis les autres comptes Or en l'état, il y a encore des progrès à faire. Le journaliste américain Mat Honan a raconté sa mésaventure sur son blog. En quelques minutes, un pirate est parvenu relativement facilement à avoir accès à son compte Cloud et à vider le contenu de ses différents appareils (un iPhone, un iPad et un MacBook Air). Même le compte Gmail a été piraté, dans la mesure où le compte Cloud sert de mail de secours, tout comme son profil Twitter. La situation était donc critique pour Mat Honan. Le journaliste a donc contacté l'AppleCare pour signaler son problème, car le mot de passe choisi pour protéger son compte iCloud n'était pas si faible que ça : il était composé de sept caractères alphanumériques et n'avait jamais servi à protéger un autre compte. Bien sûr, une attaque par force brute est toujours envisageable mais nécessite du temps et de la puissance. L'ingénierie sociale au cœur de l'attaque Après une longue explication avec l'AppleCare, il a toutefois découvert le pot aux roses. Son identité a été usurpée par le pirate pour qu'il puisse tromper l'assistance de la firme de Cupertino. Point d'attaque par force brute ici, mais un petit malin ayant du répondant. Il a réussi avec (relative) facilité à se faire passer pour Mat Honan et franchir les différentes étapes de vérification pour réinitialiser le mot de passe. Avec un nouveau mot de passe en poche, le pirate n'avait plus qu'à réinitialiser les mots de passe des comptes rattachés à iCloud et à lancer l'effacement des informations personnelles à distance de ces appareils, puisque ces derniers sont rattachés au compte. Et ensuite, il suffit de reproduire cette méthode en cascade, d'abord sur iCloud, puis sur Gmail. Et toute la vie numérique du journaliste est menacée. Amazon comme porte d'entrée Comme l'explique MacGénération, l'assaillant a eu l'idée de passer par Amazon - utilisé par le journaliste pour passer des commandes - afin de récupérer le numéro de carte de crédit. Une simple série d'appels téléphonies au centre technique du site de e-commerce pour obtenir l'accès au compte d'Amazon et mettre la main sur les 4 derniers chiffres, les autres étant masqués. Ces 4 derniers chiffres ont été amplement suffisant pour tromper Apple, puisque l'assaillant n'a dû fournir que ceux-là pour vérifier son identité (les autres ne devant de toute façon jamais être communiqués, par mesure de sécurité). Il a ensuite pu donner l'adresse de facturation et de livraison, qui est celle du domicile de Mat Honan, pour déjouer les sécurités d'Apple. Se faire passer pour le titulaire Sur Wired, le journaliste explique la méthode du pirate. D'abord, il téléphone à Amazon qu'il est le propriétaire du compte et qu'il veut ajouter un numéro de carte de crédit. Il faut simplement fournir le nom du compte, l'adresse e-mail associée et l'adresse de facturation. Une fois ces éléments renseignés, Amazon autorise l'ajout d'un nouveau numéro de carte de crédit. Ensuite, vous rappelez pour dire à Amazon que vous avez perdu l'accès à votre compte. Il faut alors fournir un nom, l'adresse de facturation et l'un des numéros de carte de crédit attaché au compte. Ici, c'est le nouveau qui est donné. Amazon va ensuite autoriser l'ajout d'une nouvelle adresse e-mail. Et avec celle-ci, il suffit de demander la réinitialisation du mot de passe du compte Amazon. Très bien pensé. Retour à la normale Depuis, les choses sont rentrées dans l'ordre pour Mat Honan. Les comptes Gmail et iCloud ont été récupérés et leur mot de passe a été modifié pour ne plus revivre une pareille expérience. Les données sur l'iPhone, l'iPad et le MacBook Air sont en cours de restitution. Et le profil Twitter doit également être restitué. Plus de peur que de mal, donc, même si la conclusion aurait pu être beaucoup plus problématique pour le journaliste. Mat Honan invite néanmoins Apple à se pencher sur ses procédures internes lorsqu'il s'agit de vérifier l'identité du propriétaire d'un compte, afin d'éviter que des pirates doués en ingénierie sociale parviennent à se faire passer pour ce qu'ils ne sont pas : les titulaires légitimes des comptes attaqués. Car dès lors qu'une brèche est faite, les ennuis peuvent survenir en cascade. à lire aussi
  Prix indiqués avec livraison
14
Commentaires à propos de «Un journaliste piraté : Apple mis en cause, Amazon coupable»
"Apple se fait berner"
Renseignez-vous plus sérieusement car vous oubliez que c'est Amazon qui a donné l'identifiant de carte bleue qui a servi à prouver la bonne foi du pirate. Difficile aux services Apple de comprendre que celui qui donne son adresse personnelle et la fin de son numéro de carte n'est pas le titulaire du compte. Cela ne prouve qu'une chose, c'est qu'il faut être très prudent et que la ruse est plus efficace que la force brute. Toute la procédure du piratage du compte est sur MacGeneration : http://www.macgenera...re-compte-apple Il semble bien que la procédure Apple était sécurisée et que c'est Amazon qui a lâché le morceau. [message édité par M4khno le 07/08/2012 à 17:01
]
L'histoire complète ici : (en) http://www.wired.com...an-hacking/all/
Amazon est aussi responsable, pour le coup. Les deux sont en grave faute. Et du coup, plusieurs points de l'article à revoir. [message édité par kerrubin le 07/08/2012 à 17:03
]
Mat Honan (sans r donc !) n'avait pas mentionné le rôle d'Amazon dans cette affaire ; l'article est en cours de correction. Merci pour votre vigilance et votre patience.
Le role d'Amazon était déjà dans l'article ce matin vers 9-10 heures...
Mais comme l'auteur le dit, adresse + fin du numero de carte bleue, n'importe quel livreur de pizza peut avoir ça... 
Tsss tsss cher Julien :-)
Remember Don-ContreDon + CCby "communautaire" http://www.numerama....reseaux-so.html 
Le titre du dernier paragraphe "Retour à la normal" ne s'applique que quand on est journaliste américain et ancien de chez Gizmodo.
En tant que péquin moyen, n'ayant ni blog connu, ni compte en @mat, le titre exact c'est : "Dommage pour ta gueule"
Le truc qui me gêne vraiment c'est qu'à partir d'un compte le pirate ait eu accès à temps de choses...
Comme quoi, même si c'est parfois contraignant : ne JAMAIS mettre tous ces ouefs dans le MEME panier. 
Le Cloud, sinon, c'est super (humour).
A condition d'y scinder les choses, de ne pas synchroniser tout avec tout. Et de ne pas prendre de fournisseur américain, évidemment. [message édité par mosquito33 le 07/08/2012 à 21:49
]
Énormes respects à l'attaquant, même si la connerie du journaliste l'a bien aidé.
[message édité par yhzarcali le 07/08/2012 à 23:51
]
par la phrase:
Elle doit être aussi traitée avec le plus grand des sérieux par les entreprises, surtout celles qui se lancent dans l'hébergement de données personnelles à distance. est ce qu'on sous entend: laisser les mdp de base des installations de services/serveurs, laisser les mdp des clients en clair, ne pas faire de maj pour eviter des failles frequentes et desormais corrigées d'acces à la bdd ? nan parce que là, la majorité des grosses boites de la planete constitue un vrai cirque pinder de clowns
Le probleème principal reste aussi sur le cloud computing comme sur un systéme de stockage de données traditionelles, la défaillance des programmes et outils intermédiaires utilisés pour la gestion de ces données ultra confidentielles et privées.
L'exemple encore hier avec le piratage du FBI, par une simple faille du système Java: http://www.pcbureau....u-fbi-2279.html le pirate dit être poussé par une idéologie et une éthique, reste á savoir ce que chacun d'entre nous ferait si il avait la possibilité d'accéder á ces données... Tous les champs doivent être remplis. Tous les champs doivent être remplis. Tous les champs doivent être remplis. |
Votre emploi informatique avec
   A LA UNE
LES + COMMENTÉS
 Télécharger
gta,
logiciel alcatel,
bittorrent,
skype,
emule island,
gnutella emule island,
editeur audiovideo vlc,
ssc,
Accès rapide :
Lecteur audio et vidéo |
Graver ou numériser |
Communication |
Encoder ou convertir |
Personnalisation |
Diagnostic |
eMule (et mods eMule) |
|
La sécurité en informatique ne peut reposer sur les seules épaules de l'utilisateur. Elle doit être aussi traitée avec le plus grand des sérieux par les entreprises, surtout celles qui se lancent dans l'hébergement de données personnelles à distance. Le cloud computing, qui est une tendance lourde dans l'informatique actuelle, l'exige, à la fois pour la fiabilité des systèmes comme pour la sécurité des informations.
Beaucoup de boulot encore ...