INFO Clubic - C’est une faille zero day qui inquiète. Des pirates seraient parvenus, selon toute vraisemblance et plusieurs témoignages, à franchir le système de vérification à deux facteurs de clients pour passer de fausses commandes en leur nom, et empocher le magot.
Depuis le début du mois de juin, plusieurs internautes ont eu la désagréable surprise de découvrir que leur compte Amazon avait été piraté, et que l’opération avait permis à des individus malveillants de passer des commandes considérées comme étant déjà livrées, et aussitôt débitées. Cette vulnérabilité zero-day est d’autant plus inquiétante que les utilisateurs qui l’ont fait remonter bénéficiaient de l’authentification à deux facteurs (A2F), censée être inviolable.
Des commandes (dont les clients n’ont pas connaissance) passées et apparaissant comme déjà livrées
La faille dont nous parlons nous a été remontée par plusieurs internautes, preuves à l’appui. Pour l’illustrer le plus simplement possible, nous nous faisons le relais du témoignage de clients d’Amazon, dont certains sont sensibles aux risques de cybersécurité, que nous appellerons pour le premier d'entre eux Martial (puisque nous sommes le 30 juin), pour préserver son anonymat.
Il y a quelques jours, Martial reçoit une notification sur son mobile provenant de l’application Amazon, qui lui signale une connexion effectuée depuis un Mac situé à Paris. Sauf que Martial n’habite pas à Paris. Dans le doute, il coupe la connexion et change son mot de passe. Et Martial fait partie des chanceux.
Son voisin, que nous appellerons Thierry (en hommage au 1er juillet), a reçu une notification identique, évidemment suspecte. Sauf qu’en début de semaine, un autre client d’Amazon a reçu la fameuse notification indiquant une connexion tierce, et il n’aura pas eu autant de chance que Martial et Thierry. Thomas, lui, s’est aperçu qu’une commande avait été effectuée en son nom, sur son compte, avec le statut « Livré » rattaché à la commande qui était déjà dans la liste des commandes archivées. Bilan des courses : 400 euros d’articles.
Un détournement très inquiétant de la procédure d’authentification à deux facteurs
Avant de développer davantage, faisons donc un point sur la situation :
- Ici, nous avons un faux vendeur (comme il en existe des centaines sur Amazon) qui met en vente un article à un prix souvent très au-dessus de ce qui pourrait être sa valeur réelle.
- Ensuite, une faille zero-day (c’est-à-dire qui n’a pas encore été découverte), permet la connexion à un compte Amazon. Précision à apporter : la connexion se fait même avec l’A2F. Ce qui est particulièrement grave, « flippant » même, nous dit Martial, qui pour sa part assurait un maximum de sécurité (via haveibeenpwned et howsecureismypassword).
- Puis le faux acheteur, une fois sur le compte du client, commande le produit, qui se trouve être déjà expédié depuis plusieurs jours puis livré par le vendeur, comme par miracle.
- Enfin, la commande est immédiatement débitée, et le faux vendeur disparaît.
On peut également trouver une trace du hack sur Reddit, où un utilisateur affirme avoir été victime du même processus malhonnête de A à Z, ayant perdu 366 dollars sur un lit de salon jamais commandé, avec là aussi une procédure d’authentification double.
Derrière les hackers, on retrouve des offres issues de comptes appartenant à des vendeurs qui revendiquent être basés en Chine, dont le nom est souvent ubuesque, comme une succession de caractères, « IXINCHENGQUZHENZHOUB » ou « HIXIANSIYANGBAI. » Les produits « mis en vente » par ces vendeurs tournent régulièrement sur la plateforme, et les offres ne semblent jamais rester plus que quelques semaines en ligne. Les vendeurs eux-mêmes pullulent. Souvent, on retrouve la mention « Vient de sortir » sur la page d’un vendeur.
Des pirates qui se sont soigneusement préparés
S’agissant de l’envoi du statut de la commande, qui apparaît comme étant livrée aux yeux du client alors que celui-ci ignorait totalement l’existence de la commande, les hackers ont probablement prévu de faux suivis, c’est-à-dire de possibles lettres suivies qui ne nécessitent pas de signatures et qui ont été envoyées à une adresse au hasard au préalable, de façon à ce que lorsque la commande est passée sur Amazon puis le tracking activé, l’état de la commande apparaisse directement comme « livré ».
Et il n’y a pas que la marketplace française qui serait concernée. Certaines boutiques trouvent leur déclinaison sur les domaines britannique, italien, espagnol, néerlandais ou allemand du géant américain.
Et nous avons même retrouvé trace de certaines offres publiées sur Amazon du côté d’Aliexpress, avec un texte et un produit identiques à ceux appartenant aux boutiques frauduleuses. Sur Aliexpress, la page n’existe plus, même si celle-ci reste référencée dans les moteurs de recherche.
Notons que selon nos informations, les clients lésés (qui seraient moins d'une dizaine connus à cette heure) ont à chaque fois été rapidement remboursés par Amazon, et le changement de mot de passe (que l'on vous conseille donc, en prévention) a permis de mettre fin au problème. On ne peut que vous conseiller, si vous avez enregistré un moyen de paiement par défaut sur Amazon (ou sur d'autres sites), de le retirer.
À savoir 👍
- Nous avons reçu plusieurs autres témoignages depuis la publication de l'article, dont certains issus d'utilisateurs très avisés, comme des développeurs web, qui confirment aussi avoir reçu récemment une notification d'une connexion via leur compte Amazon depuis un autre terminal, situé dans une autre ville.
- Pour certains des témoignages que nous avons pu récolter, plusieurs clients d'Amazon nous indiquent avoir activé l'A2F via leur numéro de téléphone, et non l'application d'authentification de compte.
- Il ne semble pas y avoir eu de problème de sim swapping chez certains utilisateurs lésés.
Contactée par Clubic, la société Amazon nous indique ne pas avoir eu connaissance, à date, d'une éventuelle faille.