En direct
Best of
Best of du 19 au 25 septembre
En direct
Articles populaires
Période :
24 heures
7 jours
01.

Yannick Noah se fait plaquer; Julien Doré réfléchit à l'adoption d'un enfant avec Francis Cabrel, Jean Dujardin & Nathalie Péchalat en attendent un 2éme: Kanye West pense être le Moïse du peuple noir, Carla Bruni que Nicolas S. écrit comme Balzac

02.

Un rapport officiel allemand souligne que l’agriculture biologique n’est absolument pas plus durable que l’agriculture conventionnelle

03.

Les Suisses ont dit "non" à la fin de la libre circulation avec l'Union européenne

04.

Nous aurons la Chine de nos mérites

05.

"Olivier véreux de mes c***lles" : Jean-Marie Bigard insulte le ministre de la Santé

06.

La Turquie, un enjeu existentiel pour l'Europe et pour le monde arabo-musulman

07.

Darmanin sait tout sur la taqiya. Et il n'aime pas du tout

01.

Un rapport officiel allemand souligne que l’agriculture biologique n’est absolument pas plus durable que l’agriculture conventionnelle

02.

Yannick Noah se fait plaquer; Julien Doré réfléchit à l'adoption d'un enfant avec Francis Cabrel, Jean Dujardin & Nathalie Péchalat en attendent un 2éme: Kanye West pense être le Moïse du peuple noir, Carla Bruni que Nicolas S. écrit comme Balzac

03.

Un militant communiste assassiné à Saint-Ouen *

04.

Séparatisme : LREM pris dans les phares de la voiture de l’islam politique

05.

Santé mentale : ces millions de Français que la pandémie fait chanceler ou s’écrouler en silence

06.

Journée mondiale d’Alzheimer : comment nos rythmes de sommeil peuvent prédire le moment de l'apparition de la maladie

01.

Névrose collective : l’Europe pétrifiée face à la crise des migrants qui se noue à ses portes

02.

"L'islam est la religion avec laquelle la République a eu le moins de problèmes dans l'Histoire". Là, Darmanin en fait un peu trop

03.

Édouard Philippe ou le vrai-faux espoir de la droite : radioscopie d’un malentendu idéologique

04.

Eric Zemmour condamné pour injure et provocation à la haine

05.

Nouvelles mesures face au Covid-19 : Gribouille gouvernemental à la barre

06.

J’aime les sapins de Noël : je suis un facho

ça vient d'être publié
pépites > International
Poudrière
Violents affrontements au Haut-Karabakh : l'Arménie et l’Azerbaïdjan au bord de la guerre
il y a 12 heures 18 min
pépites > International
Etats-Unis
Cour suprême : Donald Trump nomme Amy Coney Barrett
il y a 13 heures 39 min
décryptage > International
Suprêmement explosif

Trump a nommé à la Cour suprême une juge extrêmement conservatrice : normal, les États-Unis sont le pays des extrêmes

il y a 15 heures 49 min
décryptage > Culture
Atlantico Litterati

Tel est sur toi le sceau de ma haine, ou les possédés

il y a 17 heures 16 min
décryptage > Economie
Business

Bourse : les nouveaux gagnants et perdants post-Covid

il y a 17 heures 34 min
décryptage > International
Géopolitique

La Turquie, un enjeu existentiel pour l'Europe et pour le monde arabo-musulman

il y a 17 heures 49 min
rendez-vous > Environnement
Atlantico Green
Poser des plaques de verre sur la banquise pourrait-il sauver les glaces de l’Arctique ?
il y a 18 heures 10 min
décryptage > Société
La responsabilité du gouvernement… et la nôtre...

Covid-19 : à quelles libertés sommes-nous réellement prêts à renoncer pour enrayer l'épidémie ?

il y a 18 heures 38 min
décryptage > Santé
Bonnes feuilles

Les aidants, ces soutiens vitaux au quotidien pour les personnes âgées et dont la France aura cruellement besoin face au vieillissement de la population

il y a 20 heures 2 min
décryptage > Politique
Il a lu attentivement le Coran

Darmanin sait tout sur la taqiya. Et il n'aime pas du tout

il y a 20 heures 2 min
pépites > Economie
Votation
Les Suisses ont dit "non" à la fin de la libre circulation avec l'Union européenne
il y a 13 heures 5 min
pépites > International
Crise
Bélarus : Loukachenko "doit partir", affirme Emmanuel Macron
il y a 14 heures 16 min
rendez-vous > Science
Atlantico Sciences
Débris spatiaux : la Station spatiale a évité la catastrophe pour la 3e fois cette année ; Un détecteur de vie extraterrestre qui tient dans une boîte à chaussures !
il y a 15 heures 50 min
décryptage > Politique
Biographie

Louis Hausalter : "L'histoire de Marion Maréchal éclaire l’état de décomposition et de recomposition du paysage politique"

il y a 17 heures 26 min
décryptage > International
Relever le nez du guidon

Nous aurons la Chine de nos mérites

il y a 17 heures 40 min
décryptage > Politique
Claque en vue

Sénatoriales : petit panorama des enjeux à surveiller

il y a 17 heures 55 min
décryptage > Science
Inventées ou découvertes ?

Mais au fait, c'est quoi les maths ? Et la petite question candide posée par une ado sur Tik Tok déclencha un grand débat entre scientifiques et philosophes

il y a 18 heures 19 min
décryptage > Economie
Pensée magique

Relance made in France : les impasses du techno-colbertisme

il y a 18 heures 45 min
décryptage > Politique
Bonnes feuilles

Plongée dans les coulisses de l’organisation de la Convention de la droite : l'engagement de Marion Maréchal et Eric Zemmour en faveur de l’union des droites

il y a 20 heures 2 min
décryptage > Politique
Bonnes feuilles

Emmanuel Macron où l'art de la mondialisation heureuse

il y a 20 heures 2 min
Hacker à coeur

Comment votre boîte mail peut être piratée en seulement trois coups de fil...

Publié le 08 août 2016
Mat Honan, journaliste à Wired, a récemment été l'objet d'un piratage retentissant.
Atlantico.fr et Frédéric Bardeau
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Frédéric Bardeau est le fondateur et Vice-Président de l'agence LIMITE, pure player entièrement spécialisé en communication responsable.Il est l'auteur de Anonymous : pirates informatiques ou altermondialistes ? (FYP, 2011)
Voir la bio
Ajouter au classeur
Vous devez être abonné pour ajouter un article à votre classeur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Lecture Zen
Vous devez être abonné pour voir un article en lecture zen.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Mat Honan, journaliste à Wired, a récemment été l'objet d'un piratage retentissant.

Voir l’intégralité de sa vie numérique effacé en seulement une heure ? C’est la mésaventure qui est arrivé à l’un des journalistes geeks les plus connus des Etats-Unis, Mat Honan de « Wired ». Coup sur coup, ses comptes Gmail, Twitter et Apple ont été piratés par un certain « Phobia » et ce, seulement grâce à trois coups de téléphone.

D’abord, le pirate a cherché à hacker le compte Twitter du journaliste (@Mat) via le mail rattaché, une adresse Gmail qu’il trouve via le site personnel de Mat Honan. Il découvre en cherchant à pirater cette adresse que l’adresse de secours du Gmail est celle d’un compte iCloud, sous format ***@me.com.

Phobia a alors réalisé qu’en ouvrant les clés du compte iCloud, le service de « cloud » d’Apple (NDLR : le cloud computing consiste à stocker des données sur des serveurs distants, et donc accessibles à partir de plusieurs appareils) il pouvait accéder à un nombre illimité d’informations sur Honan – ce qu’il ne s’est pas privé de faire. Mais pour cela, il a besoin de quatre informations : nom, e-mail, adresse et quatre derniers chiffres de la carte bancaire. Les deux premiers éléments déjà en poche, il trouve le troisième facilement sur la Toile. Pour la carte bancaire, l’astuce des pirates est aussi simple que machiavélique…

Un second hackeur appelle Amazon pour obtenir un nouveau numéro de carte bancaire. Pour ce faire, il a besoin de trois informations : nom du compte, e-mail et adresse de facturation. Ce qu’il a.

Phobia rappelle ensuite Amazon en expliquant ce coup-ci qu’il a oublié l’adresse mail associée au compte. De même, trois informations sont demandées par Amazon : nom du compte, adresse de facturation et numéro de carte bancaire. Le tour est joué : les quatre informations demandées pour débloquer l’iCloud de Mat Honan sont en la possession des pirates en seulement deux coups de fil.

Ne lui reste plus qu’à appeler la hotline d’Apple pour obtenir de nouveaux codes d’accès à l’iCloud, puis s’amuser avec tous les comptes personnels de Mat Honan : Twitter perso, Twitter du site Gizmodo auquel Honan a collaboré, Gmail (purement et simplement supprimé) et Apple. iCloud permet en effet d’accéder à toutes les données d’un appareil Apple ayant accès à Internet, et donc de les supprimer – ce que Phobia a fait.

Apple et Amazon ont réagi en suspendant immédiatement leurs procédures téléphoniques, et la marque à la pomme a pu restituer à Mat Honan l’ensemble de ses données. Mais cette affaire fait écho à une récente déclaration de Steve Wozniak, cofondateur d’Apple, qui disait justement que le cloud « va créer d’énormes problèmes dans les cinq prochaines années »

Atlantico : Est-ce que ce qui est arrivé à Mat Honan pourrait arriver à un citoyen français ?

Frédéric Bardeau : Je ne crois pas. C’est surtout la manière dont Mat Honan gérait ses données personnelles, qui fait qu’il était vulnérable à ce genre d’attaques. Il était très dépendant aux services d’Apple et d’Amazon.

Cette affaire constitue un cas d’école de la manière dont un Américain très connecté, très geek, peut gérer sa vie privée et ses données. Cela ne veut pas dire que le hack est impossible en France mais je pense que les Français n’ont pas les mêmes usages que les Américains.

Dans cette affaire, il aura suffi aux hackers de passer trois coups de téléphone. Est-ce que ce type d’agissements montre qu’il est de plus en plus facile de devenir un hacker, notamment avec le cloud ?

C’est tout de même un hack d’assez haut niveau malgré les apparences : il y a de plus en plus de hackers de bon niveau.

Disons qu’il y a de plus en plus de matière à piratage, à partir du moment où toutes les données sont dans le cloud. C’est ce que disent souvent les hackers et c’est pour cela qu’ils sont méfiants vis-à-vis du cloud : si chacun fait de l’auto-host et héberge donc soi-même ses données, si chacun est son propre cloud, qu’on garde nos informations, nos mails en local, les hacks sont plus difficiles que si l’on s’en remet à des opérateurs pour la gestion de nos données. On leur délègue donc la sécurité de nos données.

Le corollaire de cela est que si on est dépendant d’un opérateur en particulier et non pas de 50, le hack est d’autant plus facile. Honan avait fait le choix de tout mettre chez Apple…

Je pense que ce hack est très pédagogique. Il voulait justement montrer ces failles : le pirate n’a pas choisi n’importe quel utilisateur, il a choisi ce journaliste de « Wired », il voulait démontrer qu’Apple était faillible et que l’iCloud n’était pas un bon produit.

Justement, Apple et Amazon ont annoncé de nouvelles mesures pour lutter contre ces piratages. Sont-elles utiles ou ne sont-elles qu’un pansement sur une jambe de bois ?

Le problème de la sécurité est qu’il n’y a jamais de système 100% sûr. La faille est soit technique (mais elle l’est rarement), soit humaine, comme on le voit dans cette affaire : c’est la question de sécurité, le mot de passe qu’on met sur un post-it, quelqu’un qui donne son mot de passe aux mauvaises personnes… Apple et Amazon peuvent renforcer tout ce qu’ils veulent, cela ne veut pas dire qu’il n’y aura pas d’autres failles. S’il n’y avait que des machines qui utilisaient des machines, le hack serait difficile, mais tant qu’il y a un facteur humain au niveau du code, de la sécurisation ou de l’utilisation…

Les gens d’Apple sont dans une situation un peu compliquée en ce moment, il y a une grosse attente après le décès de Steve Jobs. Ils ont pris des mesures pour calmer le jeu mais ils savent que rien n’est 100% efficace : même en arrêtant de développer des produits et en se concentrant uniquement sur la sécurité, ils seraient quand même vulnérables. De plus, compte tenu de leur politique de gestion de la sécurité et des données confidentielles, Apple restera une cible forte pour les hackers.

Ce hack-là est d’ailleurs la démonstration par A+B que ce n’est pas un hack technique : c’est un hack qu’on dit de « social engineering », fait par quelqu’un de malin au cœur de l’humanité du système. Il n’a pas fait d’attaque par force brute (NDLR : méthode utilisée en cryptanalyse pour trouver des mots de passe), de sniffers (NDLR : sortes de sondes placées sur des réseaux et destinées à récupérer à la volée certains types d’informations), de keyloggers (NDLR : enregistreur des touches saisies sur le clavier)… Cet acte était ciblé, il avait une vocation d’exploit, de pédagogie.

Il n’y a pas eu d’exploitation des données, ce qui corrobore qu’il y avait une volonté d’exploit : montrer qu’il y a une faille, exploiter la faille, démontrer la vulnérabilité… Ceci était un hack pédagogique dans la plus pure tradition de la recherche de failles, qui vise deux cibles emblématiques : le geek absolu de Wired et les entreprises que sont Apple et Amazon.

C’est pour toucher à la fois les journalistes et les entreprises…

Oui, c’est clairement fait pour être retentissant.

Qu’est-ce qu’un utilisateur lambda peut faire pour éviter ce type de situation ?

Il n’y a qu’un seul type de solution : avoir une maîtrise complète de la chaine. Les hackers et des pionniers comme Richard Stallman plaident pour cela : mettre les mains dans le cambouis, devenir autonome, s’héberger soi-même, gérer sa sécurité, crypter ses mails, chiffrer son disque dur, avoir des serveurs locaux ou ne rien avoir dans le cloud… Ceci étant, si on dit au citoyen qu’aucun système n’est infaillible, on ne lui apprend rien.

Il y a toujours un compromis entre la facilité des usages et la prise en compte de certains risques. Cette solution extrême n’est en effet pas à la portée de tout le monde, et c’est sur cet aspect-là que jouent les sociétés commerciales. Si on est tous sur Gmail et qu’on utilise des services de Google, c’est parce que c’est bien fichu, ça nous évite de le faire nous-mêmes et c’est gratuit.

Ceci étant, Apple avait passé un cap : quand on fait payer des services, l’utilisateur a-t-il le droit à une qualité de service ? Quand il y a un service gratuit comme Google, on peut se dire que rien n’est infaillible, vous ne payez pas pour le service donc il n’y a pas lieu de se plaindre. La politique d’Apple est par contre différente : il y a une partie gratuite dans l’iCloud mais surtout du payant.

Enfin, avoir un compte iTunes impose de mettre systématiquement sa carte bancaire, autre facteur de risque potentiel. Le hacker aurait tout à fait pu utiliser ces traces…

Gwendal PERRIN

Les commentaires de cet article sont à lire ci-après
Commentaires (8)
Ecrire un commentaire
Vous devez être abonné pour rédiger un commentaire.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.
manissola
- 13/08/2012 - 09:46
CB sur Itunes
Il est indiqué qu'il faut un numéro de CB pour créer un compte ITunes. Pour ma part je n'en ai pas mis, et ça marche !
phranck
- 12/08/2012 - 17:07
cocorico
J'adore la reponse bien francaise pour l'exception de meme epithete:

Atlantico : Est-ce que ce qui est arrivé à Mat Honan pourrait arriver à un citoyen français ?

Frédéric Bardeau : Je ne crois pas

Et a un Suisse?..Ou un Belge?
Le gorille
- 12/08/2012 - 03:21
Naïveté, imprudence, folie...
Innover, innover encore, innover pour innover... tout cela sans réelle prise de conscience de leurs conséquences ! L'aventure... Sans m'appesantir sur le concept de "noosphère", le service informatique du "Nuage", cumulé aux différentes encyclopédies libres présentes sur la Toile, me semble matérialiser cette nouvelle strate de connaissances. Avec le danger : on est tout nu devant tout le monde !
Créer une strate de connaissance universelle avec Wikipédia et autres services similaires, oui. Que moi-même j'apporte mes propres fichiers, de manière naïve, à un marchand qui laisse la porte ouverte, ou plus nuancé, relativement aisément violable, c'est non !
L'informatique devient une idole, un dieu, celui de la toute puissance du savoir, sans pouvoir s'affranchir de la faillibilité humaine. Ces marchands jouent à l'apprenti-sorcier : je souhaite réflexion, afin de maîtriser l'actuel emballement. Je connais une personne qui recopie trois fois ses données, dont une sur le service du Nuage ! Mes nombreux lustres m'incitent à la prudence, bien que je reconnaisse être démuni face à la fragilité physique des supports numériques, si je gère en stricte autonomie.