En direct
Best of
Best of du 7 au 13 septembre
En direct
Flash-actu
Articles populaires
Période :
24 heures
7 jours
01.

Brexit : petit rappel des prédictions apocalyptiques prédites au Royaume-Uni lorsqu’il choisit de garder la Livre sterling plutôt que d’adopter l’Euro

02.

Un oiseau attaque et tue un cycliste

03.

Manuel Valls danse sur une chanson des Gipsy Kings à son mariage fastueux

04.

La France continue de créer des emplois industriels alors qu’elle n’ouvre plus d’usine. Bizarre

05.

De l’Arabie saoudite à Gaza, le Moyen-Orient est-il au bord de la conflagration généralisée ?

06.

Surmortalité et boissons sucrées : pourquoi l'étude européenne qui rend responsable les édulcorants n’est pas valable

07.

Thomas Piketty, l'anti-Friedman qui ne fait peur à personne

01.

Patrick Bruel : une deuxième masseuse l'accuse ; Adieu Sebastien Farran, bonjour Pascal, Laeticia Hallyday retrouve enfin l’amour ! ; Lily-Rose Depp & Timothée Chalamet squelettiques mais heureux, Céline Dion juste maigre...;

02.

Le chef de l’organisation météorologique mondiale s’en prend de manière virulente aux extrémistes du changement climatique

03.

Syrie : les vraies raisons derrière l’avertissement d’Erdogan à l’Europe sur une nouvelle vague de migrants

04.

Retraites : ces trois questions pièges souvent oubliées des grands discours

05.

Laeticia Hallyday aurait retrouvé l’amour

06.

Pourquoi nier l’existence du racisme anti-blancs en prouve en fait l’existence

01.

Patatras : l’étude phare qui niait l’existence de notre libre arbitre à son tour remise en question

02.

​La déliquescence de la pensée (Gérard Noiriel) contre « la pensée délinquante » (Éric Zemmour)

03.

PMA / GPA : la guerre idéologique est-elle perdue ?

04.

Reconnaissance de la filiation des enfants par GPA : grand flou sur sujet clair

05.

Le chef de l’organisation météorologique mondiale s’en prend de manière virulente aux extrémistes du changement climatique

06.

Marine Le Pen : retour aux fondamentaux (et au plafond de verre)

ça vient d'être publié
pépite vidéo > International
Preuve en image
Des navires de guerres vendus par la France impliqués dans le blocus yéménite
il y a 10 heures 46 sec
pépites > France
plus de reports possibles
Evacuation d’un millier de migrants à Grande-Synthe
il y a 10 heures 47 min
pépite vidéo > Justice
une énième confrontation
Un CRS frappe violemment un Gilet Jaune
il y a 12 heures 6 min
décryptage > Culture
Atlanti-Culture

"LECTURES D'ETE": "Marcher jusqu'au soir" de Lydie Salvayre

il y a 13 heures 32 min
pépites > Société
PMA pour toutes
Selon le président la Conférence des Évêques de France, les citoyens "inquiets" du projet de loi bioéthique ont le "devoir" de manifester le 6 octobre
il y a 14 heures 48 min
décryptage > Société
Youpi ?

Vous allez pouvoir décrocher les portraits de Macron : un juge de Lyon vous y autorise

il y a 16 heures 10 min
décryptage > International
Union européenne VS Russie

Politique énergétique : avec Nordstream, c’est l’indépendance de l’Europe qui est en jeu

il y a 16 heures 53 min
décryptage > International
élections législatives

Petits repères pour comprendre les élections en Israël

il y a 18 heures 20 min
décryptage > France
Atlantico-Business

La France continue de créer des emplois industriels alors qu’elle n’ouvre plus d’usine. Bizarre

il y a 18 heures 55 min
décryptage > International
Spectre de la guerre

De l’Arabie saoudite à Gaza, le Moyen-Orient est-il au bord de la conflagration généralisée ?

il y a 19 heures 15 min
light > Insolite
Du costume à la tenue de cirque
L’ex-conseiller de Donald Trump participe à l’émission Danse avec les Stars
il y a 10 heures 28 min
de la moquerie dans l'air
Justin Trudeau va réenregistrer son hymne en français
il y a 11 heures 3 min
light > Société
nouveau système de don
L'arrondi sur salaire de plus en plus répandu en France
il y a 12 heures 42 min
pépites > Société
La recherche s'affine
La fraude des numéros de sécurité sociale est estimée entre 117 et 139 millions d'euros
il y a 13 heures 40 min
pépite vidéo > Société
démenti
Alexandre Moix se confie sur la violence de son frère Yann dans leur enfance
il y a 15 heures 32 min
décryptage > Europe
documents de yellowhammer

Brexit : petit rappel des prédictions apocalyptiques prédites au Royaume-Uni lorsqu’il choisit de garder la Livre sterling plutôt que d’adopter l’Euro

il y a 16 heures 33 min
décryptage > Economie
risque de récession ?

Déficits publics : la zone euro souffre-t-elle d’anorexie budgétaire ?

il y a 18 heures 5 min
décryptage > Science
maladies cardiovasculaires

Surmortalité et boissons sucrées : pourquoi l'étude européenne qui rend responsable les édulcorants n’est pas valable

il y a 18 heures 35 min
décryptage > Politique
élections municipales 2020

LREM, cette coalition qui s’ignore

il y a 19 heures 3 min
pépite vidéo > International
Flammes massives
Sites pétroliers attaqués en Arabie Saoudite : la production mondiale de pétrole ralentie
il y a 1 jour 9 heures
Hacker à coeur

Comment votre boîte mail peut être piratée en seulement trois coups de fil...

Publié le 08 août 2016
Mat Honan, journaliste à Wired, a récemment été l'objet d'un piratage retentissant.
Frédéric Bardeau est le fondateur et Vice-Président de l'agence LIMITE, pure player entièrement spécialisé en communication responsable.Il est l'auteur de Anonymous : pirates informatiques ou altermondialistes ? (FYP, 2011)
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Atlantico.fr et Frédéric Bardeau
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Frédéric Bardeau est le fondateur et Vice-Président de l'agence LIMITE, pure player entièrement spécialisé en communication responsable.Il est l'auteur de Anonymous : pirates informatiques ou altermondialistes ? (FYP, 2011)
Voir la bio
Ajouter au classeur
Vous devez être abonné pour ajouter un article à votre classeur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Lecture Zen
Vous devez être abonné pour voir un article en lecture zen.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Mat Honan, journaliste à Wired, a récemment été l'objet d'un piratage retentissant.

Voir l’intégralité de sa vie numérique effacé en seulement une heure ? C’est la mésaventure qui est arrivé à l’un des journalistes geeks les plus connus des Etats-Unis, Mat Honan de « Wired ». Coup sur coup, ses comptes Gmail, Twitter et Apple ont été piratés par un certain « Phobia » et ce, seulement grâce à trois coups de téléphone.

D’abord, le pirate a cherché à hacker le compte Twitter du journaliste (@Mat) via le mail rattaché, une adresse Gmail qu’il trouve via le site personnel de Mat Honan. Il découvre en cherchant à pirater cette adresse que l’adresse de secours du Gmail est celle d’un compte iCloud, sous format ***@me.com.

Phobia a alors réalisé qu’en ouvrant les clés du compte iCloud, le service de « cloud » d’Apple (NDLR : le cloud computing consiste à stocker des données sur des serveurs distants, et donc accessibles à partir de plusieurs appareils) il pouvait accéder à un nombre illimité d’informations sur Honan – ce qu’il ne s’est pas privé de faire. Mais pour cela, il a besoin de quatre informations : nom, e-mail, adresse et quatre derniers chiffres de la carte bancaire. Les deux premiers éléments déjà en poche, il trouve le troisième facilement sur la Toile. Pour la carte bancaire, l’astuce des pirates est aussi simple que machiavélique…

Un second hackeur appelle Amazon pour obtenir un nouveau numéro de carte bancaire. Pour ce faire, il a besoin de trois informations : nom du compte, e-mail et adresse de facturation. Ce qu’il a.

Phobia rappelle ensuite Amazon en expliquant ce coup-ci qu’il a oublié l’adresse mail associée au compte. De même, trois informations sont demandées par Amazon : nom du compte, adresse de facturation et numéro de carte bancaire. Le tour est joué : les quatre informations demandées pour débloquer l’iCloud de Mat Honan sont en la possession des pirates en seulement deux coups de fil.

Ne lui reste plus qu’à appeler la hotline d’Apple pour obtenir de nouveaux codes d’accès à l’iCloud, puis s’amuser avec tous les comptes personnels de Mat Honan : Twitter perso, Twitter du site Gizmodo auquel Honan a collaboré, Gmail (purement et simplement supprimé) et Apple. iCloud permet en effet d’accéder à toutes les données d’un appareil Apple ayant accès à Internet, et donc de les supprimer – ce que Phobia a fait.

Apple et Amazon ont réagi en suspendant immédiatement leurs procédures téléphoniques, et la marque à la pomme a pu restituer à Mat Honan l’ensemble de ses données. Mais cette affaire fait écho à une récente déclaration de Steve Wozniak, cofondateur d’Apple, qui disait justement que le cloud « va créer d’énormes problèmes dans les cinq prochaines années »

Atlantico : Est-ce que ce qui est arrivé à Mat Honan pourrait arriver à un citoyen français ?

Frédéric Bardeau : Je ne crois pas. C’est surtout la manière dont Mat Honan gérait ses données personnelles, qui fait qu’il était vulnérable à ce genre d’attaques. Il était très dépendant aux services d’Apple et d’Amazon.

Cette affaire constitue un cas d’école de la manière dont un Américain très connecté, très geek, peut gérer sa vie privée et ses données. Cela ne veut pas dire que le hack est impossible en France mais je pense que les Français n’ont pas les mêmes usages que les Américains.

Dans cette affaire, il aura suffi aux hackers de passer trois coups de téléphone. Est-ce que ce type d’agissements montre qu’il est de plus en plus facile de devenir un hacker, notamment avec le cloud ?

C’est tout de même un hack d’assez haut niveau malgré les apparences : il y a de plus en plus de hackers de bon niveau.

Disons qu’il y a de plus en plus de matière à piratage, à partir du moment où toutes les données sont dans le cloud. C’est ce que disent souvent les hackers et c’est pour cela qu’ils sont méfiants vis-à-vis du cloud : si chacun fait de l’auto-host et héberge donc soi-même ses données, si chacun est son propre cloud, qu’on garde nos informations, nos mails en local, les hacks sont plus difficiles que si l’on s’en remet à des opérateurs pour la gestion de nos données. On leur délègue donc la sécurité de nos données.

Le corollaire de cela est que si on est dépendant d’un opérateur en particulier et non pas de 50, le hack est d’autant plus facile. Honan avait fait le choix de tout mettre chez Apple…

Je pense que ce hack est très pédagogique. Il voulait justement montrer ces failles : le pirate n’a pas choisi n’importe quel utilisateur, il a choisi ce journaliste de « Wired », il voulait démontrer qu’Apple était faillible et que l’iCloud n’était pas un bon produit.

Justement, Apple et Amazon ont annoncé de nouvelles mesures pour lutter contre ces piratages. Sont-elles utiles ou ne sont-elles qu’un pansement sur une jambe de bois ?

Le problème de la sécurité est qu’il n’y a jamais de système 100% sûr. La faille est soit technique (mais elle l’est rarement), soit humaine, comme on le voit dans cette affaire : c’est la question de sécurité, le mot de passe qu’on met sur un post-it, quelqu’un qui donne son mot de passe aux mauvaises personnes… Apple et Amazon peuvent renforcer tout ce qu’ils veulent, cela ne veut pas dire qu’il n’y aura pas d’autres failles. S’il n’y avait que des machines qui utilisaient des machines, le hack serait difficile, mais tant qu’il y a un facteur humain au niveau du code, de la sécurisation ou de l’utilisation…

Les gens d’Apple sont dans une situation un peu compliquée en ce moment, il y a une grosse attente après le décès de Steve Jobs. Ils ont pris des mesures pour calmer le jeu mais ils savent que rien n’est 100% efficace : même en arrêtant de développer des produits et en se concentrant uniquement sur la sécurité, ils seraient quand même vulnérables. De plus, compte tenu de leur politique de gestion de la sécurité et des données confidentielles, Apple restera une cible forte pour les hackers.

Ce hack-là est d’ailleurs la démonstration par A+B que ce n’est pas un hack technique : c’est un hack qu’on dit de « social engineering », fait par quelqu’un de malin au cœur de l’humanité du système. Il n’a pas fait d’attaque par force brute (NDLR : méthode utilisée en cryptanalyse pour trouver des mots de passe), de sniffers (NDLR : sortes de sondes placées sur des réseaux et destinées à récupérer à la volée certains types d’informations), de keyloggers (NDLR : enregistreur des touches saisies sur le clavier)… Cet acte était ciblé, il avait une vocation d’exploit, de pédagogie.

Il n’y a pas eu d’exploitation des données, ce qui corrobore qu’il y avait une volonté d’exploit : montrer qu’il y a une faille, exploiter la faille, démontrer la vulnérabilité… Ceci était un hack pédagogique dans la plus pure tradition de la recherche de failles, qui vise deux cibles emblématiques : le geek absolu de Wired et les entreprises que sont Apple et Amazon.

C’est pour toucher à la fois les journalistes et les entreprises…

Oui, c’est clairement fait pour être retentissant.

Qu’est-ce qu’un utilisateur lambda peut faire pour éviter ce type de situation ?

Il n’y a qu’un seul type de solution : avoir une maîtrise complète de la chaine. Les hackers et des pionniers comme Richard Stallman plaident pour cela : mettre les mains dans le cambouis, devenir autonome, s’héberger soi-même, gérer sa sécurité, crypter ses mails, chiffrer son disque dur, avoir des serveurs locaux ou ne rien avoir dans le cloud… Ceci étant, si on dit au citoyen qu’aucun système n’est infaillible, on ne lui apprend rien.

Il y a toujours un compromis entre la facilité des usages et la prise en compte de certains risques. Cette solution extrême n’est en effet pas à la portée de tout le monde, et c’est sur cet aspect-là que jouent les sociétés commerciales. Si on est tous sur Gmail et qu’on utilise des services de Google, c’est parce que c’est bien fichu, ça nous évite de le faire nous-mêmes et c’est gratuit.

Ceci étant, Apple avait passé un cap : quand on fait payer des services, l’utilisateur a-t-il le droit à une qualité de service ? Quand il y a un service gratuit comme Google, on peut se dire que rien n’est infaillible, vous ne payez pas pour le service donc il n’y a pas lieu de se plaindre. La politique d’Apple est par contre différente : il y a une partie gratuite dans l’iCloud mais surtout du payant.

Enfin, avoir un compte iTunes impose de mettre systématiquement sa carte bancaire, autre facteur de risque potentiel. Le hacker aurait tout à fait pu utiliser ces traces…

Gwendal PERRIN

Les commentaires de cet article sont à lire ci-après
Articles populaires
Période :
24 heures
7 jours
01.

Brexit : petit rappel des prédictions apocalyptiques prédites au Royaume-Uni lorsqu’il choisit de garder la Livre sterling plutôt que d’adopter l’Euro

02.

Un oiseau attaque et tue un cycliste

03.

Manuel Valls danse sur une chanson des Gipsy Kings à son mariage fastueux

04.

La France continue de créer des emplois industriels alors qu’elle n’ouvre plus d’usine. Bizarre

05.

De l’Arabie saoudite à Gaza, le Moyen-Orient est-il au bord de la conflagration généralisée ?

06.

Surmortalité et boissons sucrées : pourquoi l'étude européenne qui rend responsable les édulcorants n’est pas valable

07.

Thomas Piketty, l'anti-Friedman qui ne fait peur à personne

01.

Patrick Bruel : une deuxième masseuse l'accuse ; Adieu Sebastien Farran, bonjour Pascal, Laeticia Hallyday retrouve enfin l’amour ! ; Lily-Rose Depp & Timothée Chalamet squelettiques mais heureux, Céline Dion juste maigre...;

02.

Le chef de l’organisation météorologique mondiale s’en prend de manière virulente aux extrémistes du changement climatique

03.

Syrie : les vraies raisons derrière l’avertissement d’Erdogan à l’Europe sur une nouvelle vague de migrants

04.

Retraites : ces trois questions pièges souvent oubliées des grands discours

05.

Laeticia Hallyday aurait retrouvé l’amour

06.

Pourquoi nier l’existence du racisme anti-blancs en prouve en fait l’existence

01.

Patatras : l’étude phare qui niait l’existence de notre libre arbitre à son tour remise en question

02.

​La déliquescence de la pensée (Gérard Noiriel) contre « la pensée délinquante » (Éric Zemmour)

03.

PMA / GPA : la guerre idéologique est-elle perdue ?

04.

Reconnaissance de la filiation des enfants par GPA : grand flou sur sujet clair

05.

Le chef de l’organisation météorologique mondiale s’en prend de manière virulente aux extrémistes du changement climatique

06.

Marine Le Pen : retour aux fondamentaux (et au plafond de verre)

Commentaires (8)
Ecrire un commentaire
Vous devez être abonné pour rédiger un commentaire.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.
manissola
- 13/08/2012 - 09:46
CB sur Itunes
Il est indiqué qu'il faut un numéro de CB pour créer un compte ITunes. Pour ma part je n'en ai pas mis, et ça marche !
phranck
- 12/08/2012 - 17:07
cocorico
J'adore la reponse bien francaise pour l'exception de meme epithete:

Atlantico : Est-ce que ce qui est arrivé à Mat Honan pourrait arriver à un citoyen français ?

Frédéric Bardeau : Je ne crois pas

Et a un Suisse?..Ou un Belge?
Le gorille
- 12/08/2012 - 03:21
Naïveté, imprudence, folie...
Innover, innover encore, innover pour innover... tout cela sans réelle prise de conscience de leurs conséquences ! L'aventure... Sans m'appesantir sur le concept de "noosphère", le service informatique du "Nuage", cumulé aux différentes encyclopédies libres présentes sur la Toile, me semble matérialiser cette nouvelle strate de connaissances. Avec le danger : on est tout nu devant tout le monde !
Créer une strate de connaissance universelle avec Wikipédia et autres services similaires, oui. Que moi-même j'apporte mes propres fichiers, de manière naïve, à un marchand qui laisse la porte ouverte, ou plus nuancé, relativement aisément violable, c'est non !
L'informatique devient une idole, un dieu, celui de la toute puissance du savoir, sans pouvoir s'affranchir de la faillibilité humaine. Ces marchands jouent à l'apprenti-sorcier : je souhaite réflexion, afin de maîtriser l'actuel emballement. Je connais une personne qui recopie trois fois ses données, dont une sur le service du Nuage ! Mes nombreux lustres m'incitent à la prudence, bien que je reconnaisse être démuni face à la fragilité physique des supports numériques, si je gère en stricte autonomie.