Accueil Bonus

Hack Apple et Amazon en une leçon

Cela fait un moment que je n’ai pu écrire d’article ici, faute de temps. Ce n’est pourtant pas le nombre d’articles intéressants qui me fait défaut, à en juger par ma liste de brouillon ici-présente.
Cet article fait suite au récit de Mat Honan, journaliste notamment pour wired.com .

Source de son récit: http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/

Bon, ce que vous devez savoir avant toute chose: les 4 derniers chiffres de votre carte bancaire, que Amazon considère assez peu importants pour les afficher en clair sur le web, sont précisément les 4 même chiffres que Apple considère comme assez sécurisés pour vous identifier.

Considérez Arthur comme l’heureux propriétaire d’un compte Amazon, sur lequel il a acheté tout un tas de bouquins, et également propriétaire d’un iphone et d’un macbook, tous deux liés à l’iCloud de Apple.
Voici la méthode (corrigée, je l’espère, par ces deux entreprises) pour prendre le contrôle de tous ces services et périphériques. Cette méthode était encore officiellement fonctionnelle il y a une semaine de cela.

Préambule

A aucun moment de cette procédure, vous n’aurez connaissance du mot de passe effectif des comptes. Vous allez simplement en gagner l’accès, grâce à une méthode appelée « Social Engineering », technique visant les failles humaines et sociales d’une structure liée à un service informatique.

1. Prenez le contrôle du compte Amazon

Commencez par appeler Amazon une première fois. L’objectif de ce premier appel est d’ajouter une carte bancaire au compte de Arthur, vous allez comprendrez pourquoi.
Lorsque vous souhaitez effectuer ce type d’opération, Amazon vous demande pour vous identifier en tant qu’Arthur, son nom de famille, son adresse e-mail, et son adresse de facturation. Les deux premières informations sont assez facile à retrouver, pour l’adresse de facturation, on peut penser à de multiples façon: un whois sur son site web personnel, une recherche sur google, une recherche sur un moteur de personne comme Spokeo.
Vous donnez ces informations, et Amazon vous autorise à ajouter un nouveau numéro de carte bancaire. Évidemment, vous allez donner un faux numéro de carte bancaire, un de ceux que vous pourrez générer sur internet et qui sont basés sur les algorithmes de vérification des banques (par exemple ici: http://www.darkcoding.net/credit-card-numbers/ ).

Puis vous rappelez Amazon. Vous leur dites que vous avez perdu l’accès à votre compte (celui de Arthur, bien évidemment!) . A cet instant, l’opératrice va vous demander les informations suivantes: un nom, une adresse de facturation, et un numéro de carte de crédit existant. Vous comprenez? Vous avez déjà les deux premières informations, et vous venez à l’instant de leur faire enregistrer la 3ème information. Amazon va alors vous demander une nouvelle adresse e-mail à ajouter à votre compte, vous en donnez une que vous venez de créer.

Il ne reste plus qu’à aller sur le site Amazon, de faire une demande de mot de passe perdu, et vous recevez la procédure de changement de mot de passe sur votre email ! Vous avez maintenant accès au compte Amazon de Arthur.

2. Prenez le contrôle du compte Apple

Souvenez-vous de la phrase maîtresse de la procédure, sur les 4 chiffres de votre carte bancaire. C’est précisément sur le compte Amazon de Arthur que vous pourrez retrouver les 4 derniers chiffres, en clair, de sa carte bancaire réelle.
Appelez Apple, et dîtes-leur que vous avez perdu l’accès à votre compte. Ils vont vous demander: votre nom, votre adresse, et… les 4 derniers chiffres de votre carte bancaire !!!
Vous avez maintenant accès au compte Apple, et à toutes les données du compte sur l’iCloud: photos, données, e-mails, contacts…

Pour terminer

Dans son récit, Mat nous raconte qu’il avait installé l’application « Find my mac », un peu comme l’application « Find my iPhone », vous permettant de retrouver un périphérique égaré ou volé. Seulement voici le fonctionnement de Find my mac: lorsque vous souhaitez utiliser la première fois l’application, elle va vous demander un mot de passe à 4 caractères. Puisque Mat n’avait jamais eu à utiliser cet outil, le pirate a eu simplement à l’initialiser, bloquant ainsi le disque dur de Mat, et ne permettant pas à ce dernier d’en faire la procédure inverse, le mot de passe à 4 caractère étant le seul moyen.
Au final cela a été bien pire que cela (et oui, c’est possible) pour Mat, puisque dans la même action et en moins d’une heure, il s’est fait piraté son compte amazon et son compte apple, mais il s’est fait supprimé la totalité de ses informations sur iphone, bloqué son disque dur sur macbook, piraté son gmail et supprimé tous ses emails, piraté son twitter avec publication de propos racistes.

Bref, je vous invite vraiment à aller lire son récit, qui ne vous laissera pas, croyez-moi, de marbre: http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/

En espérant que (si ce n’est pas déjà fait), Apple et Amazon révisent leurs process, et pas seulement eux, mais toute les entreprises qui offrent du cloud, car les procédures de sécurité actuelles ne semblent pas en phase avec cette nouvelle ère internet.

Ajouter un commentaire

Votre Email n'est jamais publiée ou partagée. Les champs requis sont marqués *.

*
*