Le piratage en 3 coups de fil

jeudi 9 août 2012

Personne n'est à l'abri du piratage de son compte mail, de son accès sur Facebook, Twitter, voir de son compte Apple. Il a suffi de quelques coups de fil à Amazon et Apple pour que des hackers puissent pirater tous les comptes d'un journaliste américain du magazine Wired. Preuve que la sécurité n'est vraiment pas maximale.

"En l'espace d'une heure, ma vie numérique a été détruite" explique l'intéressé. "On a piraté, puis supprimé mon compte Gmail. Mon compte Twitter a lui aussi été
piraté puis utilisé pour envoyer des messages racistes et homophobes. Et le meilleur pour la fin: quelqu'un a accédé à mon compte AppleID pour supprimer à distance toutes les données de mon iPhone, de mon iPad et de mon MacBook". Comment les hackers ont-ils réussi ce tour de force ? Simplement en téléphonant aux services clients d'Amazon et d'Apple. Ces derniers permettent, en effet, à leurs clients américains de récupérer les identifiants d'accès à leurs comptes par téléphone après quelques questions basiques.

Pour accéder au compte Gmail de leur victime, les hackers ont d'abord activé la procédurer de récupération du mot de passe par mail. En faisant cela, ils se sont aperçus que le journaliste possédait aussi un compte Apple. Pour pouvoir s'y connecter, ils ont donc appelé Amazon en se faisant passer pour lui. Après avoir fourni les 3 informations demandées par le service client (le nom du compte, l'email et l'adresse de facturation), ils ont demandé à ajouter une nouvelle carte bancaire au compte Amazon. Puis, ils ont rappelé un peu plus tard en expliquant qu'ils avaient oublié l'adresse mail associée à ce compte. Pour répondre à cette demande, Amazon a exigé le nom de l'utilisateur, l'adresse de facturation et le numéro de carte bancaire (celle ajoutée juste avant). L'affaire était bouclée. Amazon a alors aussitôt envoyé aux hackers un nouveau mot de passe et ceux-ci ont pu accéder à toutes les informations du compte, dont les 4 derniers chiffres de la vraie carte bancaire du journaliste. Ils ont ainsi pu appeler la hotline d'Apple pour obtenir de nouveaux codes d'accès, puis obtenir un nouveau mot de passe Gmail, puis se connecter sur Twitter et, au final, supprimer toutes les données de leur victime, y compris celles d'iCloud.

Apple et Amazon ont immédiatement réagi en suspendant pour le moment toutes leurs procédures par téléphone. Pour ce qui est de la sécurité de nos cartes bancaires, c'est une autre histoire. Qui n'a jamais fourni son numéro de carte bleue par téléphone pour commander une pizza ou faire une réservation à distance ?

Au final, Mat Honan a pu récupérer toutes ses données grâce à Apple et admet que cette mésaventure ne lui serait jamais arrivée s'il avait activé la validation en deux étapes de Gmail. Une procédure de sécurité qui oblige l'utilisateur à entrer à chaque connexion son nom d'utilisateur, son mot de passe et un code spécial envoyé par SMS ou message vocal sur son téléphone portable.