Un compte iCloud piraté révèle des failles de sécurité chez Apple et Amazon (màj)

La mésaventure numérique vécue en fin de semaine dernière par Mathew Honan, journaliste américain officiant chez Wired et Gizmodo, a permis de mettre en avant deux mécanismes de sécurité possédant des failles chez Apple et Amazon. Des méthodes de vérification trop légères qui ont ruiné l'expérience virtuelle du rédacteur.

Mathew Honan possède un compte iCloud, un compte Twitter, un compte Gmail, un compte Amazon. Ou, tout du moins, possédait jusqu'à vendredi dernier, jour durant lequel il a assisté impuissant à une prise de contrôle de sa vie numérique par un ou plusieurs hackers. Sa mésaventure a commencé lorsqu'il a tenté de réaliser une restauration des fichiers de son iPhone via son compte iCloud, sur lequel il effectuait des sauvegardes quotidiennes : « J'ai entré mon identifiant dans iCloud, mais il ne l'a pas accepté » raconte-il sur Wired. Pas encore inquiet, il cherche ensuite à se connecter à sa boîte Gmail, mais son accès lui est également refusé. Puis son Mac mini se bloque, lui réclamant un code PIN. Problème : Mat Honan n'a jamais enregistré de code PIN sur son ordinateur.

Apple : une faille humaine ?

Le journaliste comprend alors qu'il s'est fait pirater : il commence par débrancher sa machine, et appelle AppleCare, le support technique d'Apple. Après des dizaines de minutes d'échange, il apprend que quelqu'un a déjà appelé dans la journée concernant son compte : son propre hacker s'était fait passer pour lui en expliquant avoir perdu les accès de sa boîte mail en .Me. Là, la question de sécurité aurait dû faire barrière, puisque le hacker ne connaissait pas la réponse. Mais AppleCare a tout de même fourni au hacker un mot de passe temporaire en échange du nom du possesseur du compte, de son adresse postals et des 4 derniers numéros de sa carte bancaire. A partir de là, le pirate avait accès à la boîte mail, et a pu réinitialiser le mot de passe de l'AppleID de Mat Honan.

Et comme il avait lié son compte iCloud à son compte Gmail, le journaliste a immédiatement perdu le contrôle de ce dernier, dont le mot de passe a lui aussi été changé. A partir de là, le hacker a eu accès à tous les mails de Mathew, et a notamment pu prendre le contrôle de son compte Twitter, qui n'était autre que celui de Gizmodo. Il a également pris le soin de supprimer des terminaux Apple enregistrés sur Find my Mac et Find my iPhone, en bloquant au passage définitivement l'accès.

Amazon, ou l'origine des 4 chiffres

Bien qu'impuissant face à la situation, Mat Honan a persévéré pour comprendre comment la situation avait pu en arriver là. Jetant des bouteilles à la mer via Tumblr et Twitter, il a été contacté par un hacker qui prétend être, du moins en partie, à l'origine de sa mésaventure. Ce dernier lui a expliqué que son compte Twitter était l'objectif de la manœuvre, et lui a donné des détails concernant la méthode employée, balayant toute idée de hasard ou de bruteforce. Les pirates à l'origine de l'attaque ont pu récupérer l'adresse postale d'Honan via un WHOIS sur son site personnel, et son adresse Gmail étant liée à son compte @me.com, cette dernière apparaissait en partie lors du lancement d'une procédure de réinitialisation de mot de passe. Restait à récupérer les 4 derniers chiffres de son numéro de carte de crédit : c'est là qu'Amazon entre en jeu.

Le site commerçant n'est en effet pas en reste dans l'affaire : il propose d'enregistrer un numéro de carte de crédit sur le compte du client, pour que ce dernier puisse réaliser des achats en un clic. Dans le compte, seuls les 4 derniers chiffres des cartes enregistrées apparaissent. Une information qui tombe à pic : c'est ce qu'AppleCare demande.

La marche à suivre pour accéder à un compte Amazon d'un tiers a été testée plusieurs fois par Wired : le cybermarchand propose d'enregistrer des cartes de crédit par téléphone. Une action qu'il est possible de faire à condition d'avoir le nom et les adresses mail et postale du détenteur du compte, autant d'infos à disposition du hacker. Une fois la carte ajoutée, il est ensuite possible d'appeler un autre numéro pour réinitialiser un mot de passe perdu... grâce, notamment, aux 4 derniers chiffres d'une carte de crédit enregistrée. Il suffit d'utiliser ceux de la nouvelle carte fraîchement ajoutée pour accéder au compte sur lequel on souhaite s'introduire : voilà comment le hacker a récupéré l'info manquante pour AppleCare.

Réactions en chaîne

Mat Honan a aujourd'hui perdu de nombreuses données personnelles, notamment des photos de sa fille. Mais avant d'être énervé contre les hackers à l'origine de sa mésaventure, il estime l'être contre lui-même, puisqu'il estime ne pas avoir réalisé suffisamment de sauvegardes locales de ses fichiers, et avoir fait une erreur en liant ses comptes de messagerie. « Je suis triste et choqué, et je sens que je dois me blâmer pour ces pertes » écrit-il.

Mais le constat de Mat Honan ne s'arrête pas là : « Je suis aussi fâché contre cet écosystème dans lequel j'ai placé une grande partie de ma confiance et qui m'a si bien laissé tomber. Je suis en colère parce qu'Amazon rend très facile l'accès à des données qui peuvent avoir d'évidentes conséquences financières. Et puis il y a Apple (...). Avec l'AppleID, quelqu'un peut faire des milliers de dollars d'achat en un instant, ou causer des dommages qui n'ont pas de prix. » Lundi, le journaliste faisait remarquer que les failles chez les deux entreprises étaient encore accessibles à n'importe qui.

Suite à cette affaire, Apple a présenté ses excuses et admis que ses propres politiques internes « n'ont pas été entièrement suivies. » La firme a indiqué s'être immédiatement penchée sur la question pour « assurer à (ses) clients que les données sont protégées. » Quant à Amazon, il n'a pas encore fait de retour sur le sujet.

Reste que face à cette mésaventure qui fait le tour de la Toile depuis quelques jours, les internautes cherchent des façons de sécuriser au mieux sa vie numérique : PCWorld conseille, par exemple, de réaliser des sauvegardes locales et pas uniquement dans le cloud, de cacher son adresse postale lors de l'achat d'un nom de domaine, ou encore d'instaurer une vérification à deux niveaux lors de la réinitialisation d'un mot de passe - des recommandations auxquelles on peut ajouter la suppression des cartes bancaires enregistrées sur Amazon. Quant à Mat Honan, il va désormais se pencher sur les possibilités en matière de récupération de ses données, et compte continuer à relater son histoire sur Wired.

Mise à jour : depuis hier, Apple et Amazon ont pris des initiatives chacun de leur côté pour combler les failles liées à cette affaire. Amazon est sorti de son mutisme pour annoncer à ses clients contactant son service de support qu'il n'était désormais plus possible d'ajouter des cartes de crédit et des adresses emails à un compte spécifique par téléphone, réglant ainsi le problème de sécurité rencontré par Mat Honan. De son côté, Apple n'a pas fait de déclaration officielle, mais l'un de ses employés a déclaré à Wired que la firme avait bloqué la fonction permettant d'effectuer des réinitialisations de mot de passe par téléphone. Dans les deux cas, les modifications ont été réalisées discrètement, sans tambour ni trompette.

Publication initiale : 7 août 2012, 18h39.