Comment ma vie numérique a été entièrement effacée en moins d’une heure [part 1]

Aujourd’hui en me promenant sur le net, je suis tombé sur un article intitulé How Apple and Amazon Security Flaws Led to My Epic Hacking.

Ce titre m’ayant interpellé, je me suis lancé dans le récit d’un dénommé Mat Honan qui m’a tout simplement renversé. Comme son histoire est loin d’être banale et qu’elle pourrait arriver à beaucoup d’entre vous, j’ai décidé de la retranscrire dans la langue de Molière.

Une personne malveillante (que nous allons appeler le pirate) a réussi à pénétrer dans le compte Google de Mat. Dès lors que notre pirate a eu accès au compte Gmail de sa victime, il a pu retrouver des accès pour Twitter, Facebook, Amazon et pire… l’Apple ID de l’iPhone, du MacBook ou encore de l’iPad de Mat, dont il a peu entièrement effacer le contenu à distance en se faisant passer pour notre victime auprès des services d’Apple !

De nombreuses erreurs…

Notre ami le reconnaît, cet enchaînement sans fin n’aurait pas pu avoir lieu sans de nombreuses erreurs de sa part.

La première est d’avoir gardé l’ensemble de ses comptes à tous ces services liés d’une manière ou d’une autre. Le pirate a commencé par s’infiltrer sur Amazon, où il a pu récupérer des informations afin d’obtenir l’Apple ID de sa victime, lui permettant d’avoir accès à ses iBidules pour récupérer d’autres informations, notamment Gmail et Twitter, ultime but du pirate (selon Mat). Évidemment, la victime n’utilisait pas la double authentification proposée par Google, qui aurait sans doute stoppé le pirate.

La deuxième erreur est d’avoir eu la naïveté de croire qu’il était à l’abri d’une panne matérielle et par conséquent de ne pas faire de sauvegardes régulières de ses données. La magie du Cloud nous fait souvent oublier cela et il l’a payé très cher : 1 an de photos / documents concernant sa petite fille, idem pour les mails pros et persos.

… de la part d’Amazon et Apple

Mais là ou Mat Honan s’inquiète, c’est que son aventure lui a permis de mettre en évidence de grosses failles dans le service clients d’Amazon d’une part, et d’Apple d’autre part.

Comment Apple aurait-il donné l’accès au pirate des données iCloud de notre ami ? Tout simplement parce qu’il suffit de leur donner les quatre derniers numéros de votre carte de crédit. Numéros qui apparaissent dans Amazon lorsque vous enregistrez une carte…

Visiblement le problème prend de l’ampleur car notre victime indique qu’il a rencontré des gens ayant subit ce genre d’attaque.

A l’heure où nous entrons dans le tout cloud, ce genre de faille est vraiment grave. Et ça n’est pas près de s’arrêter. Les géants de l’IT nous forcent a y aller : Apple avec iCloud, Microsoft avec Windows 8, et même Ubuntu qui intègrera Amazon dans sa prochaine version !

Le récit

Tout commence un vendredi, vers 17h. Alors qu’il est en train de jouer avec sa fille sur son iPhone, celui-ci s’éteint brusquement. Dans un premier temps Mat pense que son téléphone n’a plus de batterie, alors il s’empresse de le rebrancher.

Lorsque l’iPhone redémarre surprise, l’écran de configuration, qui n’est censé arriver qu’au premier démarrage, apparait. Pour le moment il ne s’inquiète pas trop, sans doute une panne logicielle. Puis heureusement, ses données sont sauvegardées chaque soir sur iCloud. Il va donc connecter son iPhone à son MacBook pour le re-synchroniser et récupérer ses données (ce qu’il avait fait pas plus tard que la veille). Alors qu’il ouvre son MacBook, un message d’iCal apparait expliquant que les information d’authentification Gmail son erronées. L’écran de l’iPhone vire au gris et demande un code PIN.

Notre ami n’a jamais eu de code PIN…

A partir de ce moment, l’inquiétude grandit et il devine que quelque chose cloche vraiment. Comme il est sans doute un peu Geek, il réalise qu’il vient de se faire pirater et décide de tout couper dans sa maison : routeur, modem, Apple Mini (contenant bien sur toutes ses photos), téléhone… et appelle les pompiers d’Apple : Apple Care.

A son grand étonnement, le service technique d’Apple lui indique qu’un appel sous son identité a déjà été passé 1h30 plus tôt…

En réalité, cette information n’a jamais été divulguée par Apple. Mat a découvert que quelqu’un avait appelé le service technique d’Apple par un des pirates et non par la hotline.

Il a donc mené son enquête pour essayer de comprendre ce qu’il s’est passé, allant jusqu’à avoir une discussion avec Mr le pirate. Voici la chronologie du hack :

  • 16h30 : Quelqu’un appelle AppleCare en se faisant passer pour lui. L’imposteur prétend ne plus avoir accès à son adresse @me (l’adresse de Mat). En réponse, et malgré les règles de sécurités choisies par Mat, le service technique d’Apple met en place un mot de passe de réinitialisation, délivré après que notre pirate ait fourni deux informations à propos de la victime facilement retrouvables sur le net.
  • 16h50 : le nouveau mot de passe tombe dans la boîte mail @me de Mat. Notre victime ne consulte pas sa boîte à ce moment précis et notre pirate a eu le temps de récupérer des informations sensibles et de supprimer le mail. Ces informations sensibles permettent au pirate de réinitialiser l’Apple ID de Mat de manière définitive.
  • 16h50 : une confirmation de réinitialisation de mot de passe arrive dans la boîte @me (maintenant piratée) de Mat. Deux minutes après, un autre message notifiant que le mot de passe Google a été changé. Le pirate a pris possession du compte Google.
  • 16h52 : une confirmation de changement de mot de passe Google arrive dans la boîte @me.
  • 17h00 : le pirate utilise une fonction d’iCloud, « Find My », pour effacer l’iPhone de Mat à distance. Un petit nettoyage est aussi effectué du côté de l’iPad à 17h01, puis du MacBook à 17h10. Durant ces 10 minutes, le compte Google a été tout simplement supprimé.
  • 17h02 : Même chose avec Twitter. Mot de passe réinitialisé.
  • 17h12 : Un message Twitterest posté sur le profil de Mat indiquant qu’il a été piraté.

En supprimant le compte Google de Mat et en effaçant toutes les données de son MacBook, les pirates réussissent tout simplement à bloquer l’accès à Mat de tous ces autres comptes, y compris des nouveaux car il n’avait que ça…

Résultat, Mat Hanon perdra toutes ses photos de famille, incluant celles de la première année de sa fille et de ses parents décédés, tous ses documents et 8 ans de mails. La cible du pirate n’était que Twitter, mais il a fallu passer par toutes ses suppressions pour empêcher Mat de retrouver un accès au service de microblogging.

De l’incapacité du service technique d’Apple

Mat Honan passe plus d’1h30 au téléphone avec Apple Care. Le problème ? La victime est dans l’incapacité de répondre aux questions de sécurités posées par l’opérateur, puisque celles-ci ont été modifiées par le pirate. Jusqu’au moment où :

Opérateur : « Mr. Herman je suis… »
Mat : « Attendez, vous m’avez appelé comment ? »
Opérateur : « Mr. Herman ? »
Mat : « Je m’appelle Honan ! »

Apple était donc en train de chercher le mauvais compte depuis le début… Impossible que Mat réponde correctement aux questions de sécurité posées.

Le support décide donc d’utiliser leur dernier recourt pour notre ami : qu’il fournisse une adresse de facturation et les 4 derniers numéros de sa carte de crédit enregistrée.

Et oui, li s’avère que ces deux seules informations suffisent à réinitialiser un compte iCloud, via la méthode du mot de passe temporaire évoquée plus haut.

C’est ni moi ni lui qui le dit, c’est le support Apple :

All you need to access someone’s AppleID is the associated e-mail address, a credit card number, the billing address, and the last four digits of a credit card on file.

Tout ce qu’il vous faut pour accéder à l’Apple ID de quelqu’un, c’est l’email associé, un numéro de carte, une adresse de facturation et les 4 derniers numéros de la carte enregistré dans le compte.

Suite à cela Mat Honan a été en contact avec la porte-parole de la société, Natalie Kerris

Apple prend la vie privée de ses clients au sérieux et requiert de multiples formes de vérification avant de réinitialiser un mot de passe Apple ID. Dans ce cas particulier, les données du client ont été compromises par une personne qui avait acquis des renseignements personnels de sa victime. En outre, nous avons constaté que nos propres politiques internes n’ont pas été suivies complètement. Nous revoyons l’ensemble de nos processus de réinitialisation des mots de passe de compte pour s’assurer que les données de nos clients sont protégés.

Les méthodes utilisées par le pirate

Wired, qui héberge l’article que je vous transcris, à réussi à reproduire le parcours du pirate avec succès. Ce parcours est tellement bien pensé qu’il en devient perturbant car il remet en cause certaines idées reçues que nous pourrions avoir (le mot de passe Twitter de 7 caractères alphanumériques brute-forcé par exemple…). Mat Honan a longuement discuté avec la personne ayant tué sa vie numérique et celui-ci lui a tout détaillé.

Je vous transcrirai ce détail dans un prochain article car c’est vraiment intéressant. Je vous proposerai ensuite quelques méthodes pour renforcer la sécurité de vos comptes sur le net, on ne le répète malheureusement jamais assez…

Cet article vous a plu ? Partagez-le sur les réseaux sociaux !

Twitter Facebook Google Plus email