L'adage est bien connu chez les professionnels de la sécurité informatique, toutes les précautions technologiques ne valent rien si la faille se situe entre la chaise et le clavier. Grâce à des informations rendues publiques par la victime, et à une légère faille dans la sécurité d'Amazon, un consultant en cybersécurité a pu obtenir l'accès à toute la vie numérique d'un comédien américain. Lequel, heureusement, avait accepté de se prêter au jeu. Explications.

Il y a presque exactement un an, un journaliste du magazine Wired avait raconté comment un pirate avait pu accéder à ses comptes iCloud, Gmail ou Twitter, en utilisant l'ingénierie sociale à partir d'Amazon. En se faisant passer au téléphone pour le propriétaire du compte Amazon, le hacker avait gagné l'accès à des informations utiles pour débloquer l'accès à d'autres comptes d'autres services en ligne, montrant ainsi que la principale faille de sécurité n'était pas technique, mais humaine.

Or voilà qu'une affaire très similaire dévoilée par CBS News est arrivée à l'acteur américain Erik Stolhanske, qui a accepté d'être le cobaye d'une expérience réalisée par un consultant en cybersécurité de la société SecureState. Là encore, c'est en utilisant Amazon comme porte d'entrée que le "pirate" a pu progressivement accéder aux comptes Apple et Dropbox de la victime, ainsi qu'à ses e-mails et à son compte d'hébergement de site web.

Dans un premier temps, SecureState a utilisé le site Spokeo pour glaner un maximum d'informations sur Erik Stolhanske. Spokeo, qui est un équivalent anglosaxon du site 123People sanctionné par la CNIL, compile notamment les adresses e-mails, numéros de téléphone et autres adresses postales correspondant à une personne dont l'on recherche le nom.

Armé de la liste des adresses e-mail associées à Erik Stolhanske, le consultant s'est alors rendu sur le site d'Amazon pour vérifier s'il existait un client enregistré avec une telle adresse e-mail. La démarche est facilitée par les listes d'envies d'Amazon, qui permettent à quiconque de consulter les "wishlists" de leurs connaissances en saisissant simplement l'adresse e-mail (le but étant de permettre d'offrir un cadeau que la personne aimerait effectivement avoir, sans avoir à lui demander). 

Trahi par sa passion pour Game Of Thrones

Une fois l'existence d'un compte Amazon vérifiée, SecureState a appelé le service clients d'Amazon en demandant à pouvoir ajouter un numéro de carte bancaire sur le compte, comme l'avait fait le hacker il y a un an. "Au moment de vérifier son identité, Geise (le consultant, ndlr) a dit au représentant d'Amazon qu'il avait oublié quel domicile il utilisait pour son compte, et il a parcouru la liste qu'il avait obtenu de Spokeo. Une correspondance a été trouvée, et il a pu ajouter un numéro de carte de crédit au compte", raconte CBS News.

30 minutes plus tard, le consultant a rappelé Amazon en expliquant qu'il avait perdu l'accès à son compte et à son adresse e-mail de secours, sur laquelle il est possible de se faire renvoyer un mot de passe. Pour vérifier qu'il était bien le titulaire du compte, Amazon lui a demandé de citer les 4 derniers chiffres d'une carte bancaire associée au compte. Facile, puisqu'il venait de l'ajouter une demie heure plus tôt.

Mais fort de l'expérience de l'an passé, Amazon a ajouté une question à sa procédure de sécurité. Le marchand a demandé à l'interlocuteur de citer également un achat effectué récemment. Le consultant, qui avait fait un travail préalable d'enquête sur sa cible, avait vu sur les réseaux sociaux que Erik Stolhanske était fan de Games Of Thrones, mais rien de plus. Pas de quoi être sûr d'un achat. Il a donc tenté sa chance très habilement, en assurant qu'il utilisait très peu le compte Amazon, mais que sa femme l'avait probablement utilisé récemment pour acheter un DVD ou un livre de Game Of Thrones. Coup de chance, c'était gagné.

Ayant l'accès au compte Amazon, le consultant a pu voir l'ensemble des cartes de crédit enregistrées avec le compte, ou plutôt aux 4 derniers chiffres de chaque carte. Il a alors pu se servir de ces informations pour prouver son identité auprès du fournisseur d'accès AOL, et ainsi gagner l'accès aux e-mails AOL de la cible, lesquels lui ont permis de demander un nouveau mot de passe à Apple, lequel lui a donné accès à la boîte e-mail principale d'Erik Stolhanske, etc., etc.

Il suffit ensuite de tirer le fil de la pelote de laine, jusqu'à accéder aux informations voulues.

Amazon pouvait-il faire mieux pour protéger son client ? Chacun jugera. 

Partager sur les réseaux sociaux

Articles liés