nos newsletters
Lisez 01net pour 2,25 € / n° seulement
Piratage d'iCloud : Mat Honan détaille sa mésaventure
Le journaliste de Wired explique comment un pirate a profité de failles aux supports clientèles d'Amazon et d'Apple pour effacer son ordinateur et ses appareils mobiles à distance...
Mat Honan a publié un long article dans son journal, Wired, qui donne davantage de précisions sur la mésaventure que nous évoquions hier, lundi 6 août 2012... Et sutout, détaille la façon dont le pirate a obtenu les informations nécessaires pour détourner son compte iCloud. Voilà donc les étapes suivies par Phobia (le pseudo du pirate) pour perpétrer son forfait. Wired a, de son côté, répété la procédure avec succès et pointe les gros soucis de protection de données personnelles chez Amazon et Apple.
agrandir la photo
D’abord, Phobia a découvert le Gmail de Mat Honan et est passé par l’écran de récupération de mot de passe, sans l’utiliser, juste pour découvrir son adresse de secours. Elle était cachée, mais m***n@me.com lui a suffi pour savoir qu’il s’agissait d’un compte iCloud et en déduire son adresse. C’est en pénétrant par la suite ce compte qu’il est parvenu à pourrir la vie du journaliste et effacer ses machines.
Pour donner les clés d’un compte iCloud, Apple réclame seulement trois informations : l’e-mail du compte, une adresse de facturation, et les quatre derniers chiffres de la carte bancaire associée au compte.
L’e-mail déjà en poche, Phobia a commencé par effectuer un whois sur le nom de domaine de Honan pour récupérer son adresse. Récupérer les quatre derniers chiffres de la carte bancaire était juste un tantinet plus compliqué... mais Amazon peut les révéler assez facilement.
Amazon mis en cause
Mat Honan décrit la technique machiavélique des pirates, qu’il a répétée en fournissant un faux numéro de carte bleue au géant du commerce en ligne : « D’abord, vous appelez Amazon, vous leur indiquez que vous êtes le détenteur du compte et que vous souhaitez ajouter un numéro de carte bancaire. Vous avez simplement besoin du nom du compte, de l’e-mail associé et de l’adresse de facturation. Amazon vous laisse alors ajouter une carte. Vous raccrochez, puis rappelez et dites à Amazon que vous avez perdu l’accès à votre compte. En fournissant un nom, une adresse de facturation et le numéro de carte que vous venez de donner, Amazon vous permet d’ajouter une nouvelle adresse e-mail au compte. De là, vous pouvez envoyer une demande de changement de mot de passe à cette nouvelle adresse. Cela vous permet de voir toutes les cartes de crédit associées au compte – mais pas les numéros complets, juste les quatre derniers chiffres. »
Les quatre derniers chiffres, justement ceux que réclament Apple ! Ne restait plus à Phobia qu’à appeler le support Apple en feignant un souci d’accès à son compte pour en gagner l'accès.
Conclusion énervée de Mat Honan, qui a notamment perdu irrémédiablement des photos précieuses : « Je suis énervé par cet écosystème auquel j’ai fait confiance et qui m’a laissé tomber. Je suis en colère qu’Amazon rende une intrusion sur un compte aussi simple […] Et il y a Apple. A l’origine, j’ai pris un compte Apple pour acheter des chansons à 99 centimes l’unité, et d’année en année le même identifiant est devenu un unique point d’entrée qui contrôle mes téléphones, tablettes et ordinateurs […] Avec cet AppleID, un individu peut faire des milliers de dollars d'achats en un instant ou faire des dommages inestimables. »
Actu précédente
à lire aussi
SUR LES MÊMES THÈMES 
guide d'achat