[Mise à jour] Un rédacteur de Gizmodo hacké jusqu'au bout
Souvent, assez pour ne plus pouvoir compter le nombre de fois, nous vous avertissons sur les règles de sécurité élémentaires à appliquer pour éviter d'avoir à subir les affres des pertes de données ou des attaques de pirates. Voici l'histoire qui est arrivée à Mat Honan, rédacteur du site Gizmodo, et qui fera méditer ceux qui n'accordent pas assez d'importance à certaines règles.
Tout a commencé le jour où un pirate a réussi à entrer dans son compte iCloud et à en faire un reset de son mot de passe. On ignore la manière dont le pirate s'y est pris, mais ce mot de passe n'avait que 7 caractères simples, ce qui est peu, était le même depuis des années et n'était selon l'auteur utilisé que pour cet usage.
Ce compte étant aussi utilisé comme seconde adresse mail de son Gmail, le pirate a aussi réussi à changer le mot de passe de ce dernier, ce qui lui a ensuite permis de prendre en main le compte Twitter de la victime.
C'est une vraie cascade de choses qui s'est donc produite et la malveillance réelle a ensuite commencé:
- Tout ce que contenait le compte GMail a été effacé,
- son iPhone a été effacé à distance,
- son iPad a été éffacé à distance,
- son MacBook Air a vu son disque effacé à distance...
En peu de temps, il a donc perdu l'essentiel de ses données, de son histoire surtout que visiblement il n'en avait pas de sauvegarde déconnectée.
Si vous pensez réellement que cela ne peut pas vous arriver, vous êtes certainement une victime idéale.
[MàJ] On en sait désormais un peu plus sur la technique employée par le hacker.
Initialement, il ciblait le compte Google du journaliste. En initiant la procédure de récupération du mot de passe, il a obtenu des informations sur l'adresse mail secondaire. Google indique en effet cette adresse en n'affichant que le premier et le dernier caractère de l'identifiant, suivis du nom de domaine. Le hacker en a facilement déduit l'adresse complète, qui était de la forme [email protected].
Via un simple WHOIS sur un nom de domaine enregistré par le journaliste, le hacker a obtenu son adresse postale. Le journaliste aurait pu rendre ces informations inaccessibles, la plupart des registrars le permettant.
Le hacker a ensuite obtenu les 4 derniers chiffres du numéro de carte bancaire enregistré sur le compte Amazon du journaliste. La "faille" serait ici dans les procédures du service client par téléphone, permettant un peu trop aisément d'avoir accès à cette information à partir du moment où on connait le nom, l'adresse mail et l'adresse postale de la cible.
Enfin, avec toutes ces informations en main, il a appellé le support client d'Apple pour faire réinitialiser le mot de passe. Avec un peu de social engineering, il a réussi à convaincre le télé-opérateur qu'il était bien le propriétaire du compte, bien qu'il ne dispose pas de la réponse à la question secrète. Il semblerait donc qu'à ce niveau, l'employé d'Apple qui a pris en charge le dossier a commis une lourde faute, en ne respectant pas la procédure normale de réinitialisation.
Ce mode opératoire montre bien à quel point il est important de se méfier des informations que l'on publie sur Internet, et en particulier sur les réseaux sociaux. Il est sans doute possible d'obtenir au sujet de beaucoup d'utilisateurs de réseaux sociaux suffisament d'informations pour usurper leur identité de façon convaincante auprès de n'importe quel télé-opérateur...