Quand le cloud favorise la fraude

Un journaliste de Wired a vu ses comptes Amazon, Gmail, Twitter & Facebook piratés. Cette mésaventure nous pousse à nous interroger sur nos propres pratiques et sur la prétendue sécurité de la virtualisation des données, le fameux "clouding".

On peut assez légitimement s’interroger sur les risques de la virtualisation de ses informations personnelles. L’argument de la sécurité est largement mis en avant par les prestataires du « clouding » mais justement est ce si sécurisé que cela ?

Autre tendance forte, c’est la connection de nos terminaux à des comptes Apple pour IOS ou Google pour Android. Enfin, la mise en relation de nos comptes par des identifiants uniques comme GoogleConnect ou FBconnect ajoute une faille de sécurité importante que les hackers peuvent utiliser. On a ici les trois ingrédients d’un scénario d’horreur pour tout utilisateur régulier d’internet. 

Je viens de lire un article dans wired plutôt effrayant. Comme dirait Coluche ou Owni (je sais, rien à voir, mais ils ont fait la même intro), « c’est l’histoire d’un mec qui a tout paumé en quelques minutes ». Toute son existence numérique, consciencieusement protégée et sauvegardée pendant des années, hackée en moins d’une heure : compte google effacé, compte twitter utilisé pour diffuser des messages à caractère raciste et homophobe, et l’AppleID détourné pour effacer toutes les données présentes sur son iphone, son ipad et son MacBook. De surcroît, l’iPhone est devenu inutilisable puisque cette fonction est rendue possible par Apple, « Localiser iPhone », pour se prémunir contre les vols.

Mat Honan puisque c’est son nom est un journaliste « nouvelle génération » très en vue aux US. Il écrit pour différents titres comme Gizmodo ou WIRED magazine. Il a entre autre eu la très bonne idée de publier la playlist MP3 de Obama qui a fait grand bruit sur la toile pendant la campagne.

Mat avoue trois monumentales erreurs (aux quelles j’ajouterai bien volontiers une quatrième) qui ont plongé sa vie dans un irréversible cauchemar :

  1. avoir eu une confiance aveugle dans le principe du cloud et plus largement une confiance indéfectible envers ses opérateurs ;
  2. avoir refusé la « validation en deux étapes » mise en place par Google (que j’utilise personnellement même si elle est un peu lourde au quotidien). Cette double identification vérifie par le biais de votre téléphone mobile que vous êtes bien le possesseur de votre compte au moment de vous y connecter via un nouveau terminal ou lorsque 30 jours sépare deux connections.
  3. avoir « chaîné » en cascade ses comptes Google et Twitter via Google Connect.
  4. avoir mis tous ses œufs dans le panier d’Apple : iPhone, iPad et MacBook (ça c’est l’erreur que j’ajoute).

La question qui vous brûle les lèvres, je l’entends d’ici : comment cela a-t-il pu lui arriver ?

Le hacker a savamment utilisé différentes traces laissées sur les services en ligne utilisés par Mat. En résumé, sur le compte Twitter de Mat, le hacker a découvert l’adresse internet de son blog honan.net, sur lequel il a pris connaissance de son email Google (gmail). En se connectant sur la page de login de gmail, et en demandant de réinitialiser son mot de passe, le hacker à découvert l’existence d’un compte apple, m••••n@me.com, email alternatif utilisé pour la récupération de compte.

Il a utilisé le site whois.net pour avoir l’adresse physique du détenteur de l’URL honan.net mais il aurait très bien pu utiliser les pages blanches.

Avec le nom, l’adresse et l’email gmail, il a pu ajouter un faux numéro de carte bleu au compte Amazon de Mat en appelant le service client. il a passé ce faux, en numéro de carte principale. Il a ensuite rappelé le service client en disant qu’il avait perdu l’accès à son compte Amazon. Avec le numéro de carte bleu frauduleux, le nom et l’adresse, il a pu ajouter un nouvel email (ou email alternatif) au compte Amazon de Mat pour récupérer les données de connection au compte Amazon. Avec cet accès il a pu lire les quatre derniers chiffres de la carte bleu précédemment rentrée par Mat.
En appelant le service technique AppleCare et en fournissant le nom, l’adresse et les quatre derniers chiffres de la carte bleu de Mat, Phobia (le fameux hacker) a pu avoir accès au compte me.com de Mat et donc au compte google, au compte twitter, à son compte ne banque etc., à l’ensemble des comptes et terminaux utilisés par Mat.
Alors effayant non ? j’en ai même pas terminé mon Pepito.