Comment ma vie numérique a été entièrement effacée en moins d’une heure [part 2]

Retour sur l’histoire folle de Mat Honan, dont la vie numérique a entièrement été détruite par un hacker malveillant en l’espace d’une heure. Après avoir réussi à entrer en contact avec son pirate, notre ami passe un accord avec lui : ne pas porter plainte contre lui à condition qu’il lui explique précisément comment il a fait pour accéder à tous ses comptes et effacer entièrement le contenu de son iPhone, iPad et MacBook.

Après avoir entamé un dialogue avec son pirate, Mat découvre que celui-ci se fait appeler Phobia.

La première question qui lui vient alors c’est : pourquoi ? Pourquoi l’avoir choisi lui en particulier et pas un autre ? Était-ce pour avoir accès au compte Twitter de Gizmodo (notre ami est un ancien collaborateur de Gizmodo US) ?

Rien de tout ça, Phobia ne savait même pas que Mat était lié à Gizmodo, s’en est devenu la cerise sur la gâteau. Le hacker trouvait simplement le nom Twitter de Mat (@mat) fun… Il souhaitait juste en prendre possession, y foutre la merde avec des messages racistes et le regarder sombrer…

I honestly didn’t have any heat towards you before this. i just liked your username like I said before.

ira même déclarer Phobia.

Mais avant d’avoir pu accéder à tous les comptes de sa victime, le pirate à réalisé un petit travail de recherche sur Mat.

En premier lieu donc, il a atterri sur le Twitter de Mat. Après avoir recueilli quelques informations sur ce Twitter, Phobia remarque qu’il est lié à un site web, site personnel de Mat. Sur ce site le hacker trouve une adresse Gmail. Rapidement, nous comme lui devinons que cette adresse Gmail a de fortes chances d’être utilisée pour Twitter.

Phobia décide donc de se rendre sur la page de récupération de mot de passe Google. Il choisi l’option « J’ai oublié mon mot de passe » afin que Google propose d’envoyer un mot de passe à l’adresse de secours de Mat. Si vous utilisez un compte Google, vous devez savoir qu’à cette étape, Google ne fourni pas l’adresse de secours, mais juste un portion, du type : m••••n@me.com pour Mat. J’ajoute aussi que Mat n’utilisait pas la double protection de compte Google.

Jackpot, Phobia sait dorénavant que Mat dispose d’une adresse en @me, et donc d’un Apple ID.

A cette étape, si notre ami avait utilisé une autre adresse de secours autre que celle liée à ses iBidules, ou s’il avait utilisé la double authentification Google, Phobia n’aurait pas pu aller plus loin.

Sincèrement, n’importe quelle adresse @me est facilement pénétrable , déclare Phobia dans un mail.

Maintenant qu’il dispose des adresses email de sa victime, il ne manque plus qu’au pirate une adresse de facturation et les quatre derniers numéros de sa carte de crédit.

La première est toute simple à obtenir, via le whois du domaine du site personnel de Mat. La deuxième reste tout aussi simple, mais nécessite quelques petites manipulations.

Pour commencer, vous appelez Amazon en expliquant que vous avez un compte chez eux et que vous souhaitez ajouter un nouveau numéro de carte de crédit à votre compte. Tout ce dont vous avez besoin pour réaliser ceci est : l’adresse e-mail du compte, le nom du compte et une adresse de facturation.

Ensuite, vous rappelez Amazon en prétendant que vous avez perdu votre mot de passe et que vous souhaitez le récupérer. Après avoir donné votre nom, votre adresse, votre email et une adresse, Amazon vous propose d’ajouter une nouvelle adresse e-mail à votre compte afin d’y envoyer de nouvelles informations d’authentification. Vous avez maintenant accès au compte Amazon de la victime, et pouvez récupérer les fameux quatre derniers chiffres de toutes les cartes bancaires enregistrées ! Rappelons que ces 4 chiffres permettent aussi de réinitialiser un Apple ID et les informations qui vont avec.

Pour l’anecdote, Mat explique dans son article qu’il est inutile de s’infiltrer dans Amazon pour obtenir ces chiffres… Il les donne toutes les semaines au gamin de 16 ans qui lui livre ses pizzas…

La suite vous la connaissez… Phobia détruit tout, et joue au Troll sur le Twitter de Mat. Et cela aurait pu aller très loin. Phobia avait accès à tous les comptes bancaires de Mat, mais aussi à son carnet d’adresse, qui contenait de nombreuses personnes influentes (Mat est journaliste). Il n’en est rien, Phobia s’est juste amusé sur Twitter !

La conclusion

Toutes ces manipulations ont été refaites avec succès par Mat et la rédaction de Wired tellement elles sont enfantines. Il n’y a pas une mais plusieurs conclusions à tirer de cette histoire. La première est de toujours se méfier de la facilité que nous offre les technologies grand public. Ce grand public qui est bien loin de comprendre la manière dont les informations qu’il cède aux sociétés américaines sont traitées et utilisées. S’il commençait seulement par se poser la question…

Depuis, il parait qu’Apple a renforcé son système. Pas de nouvelles du côté d’Amazon.

Quant à Mat, il a découvert avec plaisir les joies de la sauvegarde.

Cet article vous a plu ? Partagez-le sur les réseaux sociaux !

Twitter Facebook Google Plus email