Comment votre boîte mail peut être piratée en seulement trois coups de fil...

Voir l’intégralité de sa vie numérique effacé en seulement une heure ? C’est la mésaventure qui est arrivé à l’un des journalistes geeks les plus connus des Etats-Unis, Mat Honan de « Wired ». Coup sur coup, ses comptes Gmail, Twitter et Apple ont été piratés par un certain « Phobia » et ce, seulement grâce à trois coups de téléphone.

D’abord, le pirate a cherché à hacker le compte Twitter du journaliste (@Mat) via le mail rattaché, une adresse Gmail qu’il trouve via le site personnel de Mat Honan. Il découvre en cherchant à pirater cette adresse que l’adresse de secours du Gmail est celle d’un compte iCloud, sous format ***@me.com.

Phobia a alors réalisé qu’en ouvrant les clés du compte iCloud, le service de « cloud » d’Apple (NDLR : le cloud computing consiste à stocker des données sur des serveurs distants, et donc accessibles à partir de plusieurs appareils) il pouvait accéder à un nombre illimité d’informations sur Honan – ce qu’il ne s’est pas privé de faire. Mais pour cela, il a besoin de quatre informations : nom, e-mail, adresse et quatre derniers chiffres de la carte bancaire. Les deux premiers éléments déjà en poche, il trouve le troisième facilement sur la Toile. Pour la carte bancaire, l’astuce des pirates est aussi simple que machiavélique…

Un second hackeur appelle Amazon pour obtenir un nouveau numéro de carte bancaire. Pour ce faire, il a besoin de trois informations : nom du compte, e-mail et adresse de facturation. Ce qu’il a.

Phobia rappelle ensuite Amazon en expliquant ce coup-ci qu’il a oublié l’adresse mail associée au compte. De même, trois informations sont demandées par Amazon : nom du compte, adresse de facturation et numéro de carte bancaire. Le tour est joué : les quatre informations demandées pour débloquer l’iCloud de Mat Honan sont en la possession des pirates en seulement deux coups de fil.

Ne lui reste plus qu’à appeler la hotline d’Apple pour obtenir de nouveaux codes d’accès à l’iCloud, puis s’amuser avec tous les comptes personnels de Mat Honan : Twitter perso, Twitter du site Gizmodo auquel Honan a collaboré, Gmail (purement et simplement supprimé) et Apple. iCloud permet en effet d’accéder à toutes les données d’un appareil Apple ayant accès à Internet, et donc de les supprimer – ce que Phobia a fait.

Apple et Amazon ont réagi en suspendant immédiatement leurs procédures téléphoniques, et la marque à la pomme a pu restituer à Mat Honan l’ensemble de ses données. Mais cette affaire fait écho à une récente déclaration de Steve Wozniak, cofondateur d’Apple, qui disait justement que le cloud « va créer d’énormes problèmes dans les cinq prochaines années »…

Atlantico : Est-ce que ce qui est arrivé à Mat Honan pourrait arriver à un citoyen français ?

Frédéric Bardeau : Je ne crois pas. C’est surtout la manière dont Mat Honan gérait ses données personnelles, qui fait qu’il était vulnérable à ce genre d’attaques. Il était très dépendant aux services d’Apple et d’Amazon.

Cette affaire constitue un cas d’école de la manière dont un Américain très connecté, très geek, peut gérer sa vie privée et ses données. Cela ne veut pas dire que le hack est impossible en France mais je pense que les Français n’ont pas les mêmes usages que les Américains.

Dans cette affaire, il aura suffi aux hackers de passer trois coups de téléphone. Est-ce que ce type d’agissements montre qu’il est de plus en plus facile de devenir un hacker, notamment avec le cloud ?

C’est tout de même un hack d’assez haut niveau malgré les apparences : il y a de plus en plus de hackers de bon niveau.

Disons qu’il y a de plus en plus de matière à piratage, à partir du moment où toutes les données sont dans le cloud. C’est ce que disent souvent les hackers et c’est pour cela qu’ils sont méfiants vis-à-vis du cloud : si chacun fait de l’auto-host et héberge donc soi-même ses données, si chacun est son propre cloud, qu’on garde nos informations, nos mails en local, les hacks sont plus difficiles que si l’on s’en remet à des opérateurs pour la gestion de nos données. On leur délègue donc la sécurité de nos données.

Le corollaire de cela est que si on est dépendant d’un opérateur en particulier et non pas de 50, le hack est d’autant plus facile. Honan avait fait le choix de tout mettre chez Apple…

Je pense que ce hack est très pédagogique. Il voulait justement montrer ces failles : le pirate n’a pas choisi n’importe quel utilisateur, il a choisi ce journaliste de « Wired », il voulait démontrer qu’Apple était faillible et que l’iCloud n’était pas un bon produit.

Justement, Apple et Amazon ont annoncé de nouvelles mesures pour lutter contre ces piratages. Sont-elles utiles ou ne sont-elles qu’un pansement sur une jambe de bois ?

Le problème de la sécurité est qu’il n’y a jamais de système 100% sûr. La faille est soit technique (mais elle l’est rarement), soit humaine, comme on le voit dans cette affaire : c’est la question de sécurité, le mot de passe qu’on met sur un post-it, quelqu’un qui donne son mot de passe aux mauvaises personnes… Apple et Amazon peuvent renforcer tout ce qu’ils veulent, cela ne veut pas dire qu’il n’y aura pas d’autres failles. S’il n’y avait que des machines qui utilisaient des machines, le hack serait difficile, mais tant qu’il y a un facteur humain au niveau du code, de la sécurisation ou de l’utilisation…

Les gens d’Apple sont dans une situation un peu compliquée en ce moment, il y a une grosse attente après le décès de Steve Jobs. Ils ont pris des mesures pour calmer le jeu mais ils savent que rien n’est 100% efficace : même en arrêtant de développer des produits et en se concentrant uniquement sur la sécurité, ils seraient quand même vulnérables. De plus, compte tenu de leur politique de gestion de la sécurité et des données confidentielles, Apple restera une cible forte pour les hackers.

Ce hack-là est d’ailleurs la démonstration par A+B que ce n’est pas un hack technique : c’est un hack qu’on dit de « social engineering », fait par quelqu’un de malin au cœur de l’humanité du système. Il n’a pas fait d’attaque par force brute (NDLR : méthode utilisée en cryptanalyse pour trouver des mots de passe), de sniffers (NDLR : sortes de sondes placées sur des réseaux et destinées à récupérer à la volée certains types d’informations), de keyloggers (NDLR : enregistreur des touches saisies sur le clavier)… Cet acte était ciblé, il avait une vocation d’exploit, de pédagogie.

Il n’y a pas eu d’exploitation des données, ce qui corrobore qu’il y avait une volonté d’exploit : montrer qu’il y a une faille, exploiter la faille, démontrer la vulnérabilité… Ceci était un hack pédagogique dans la plus pure tradition de la recherche de failles, qui vise deux cibles emblématiques : le geek absolu de Wired et les entreprises que sont Apple et Amazon.

C’est pour toucher à la fois les journalistes et les entreprises…

Oui, c’est clairement fait pour être retentissant.

Qu’est-ce qu’un utilisateur lambda peut faire pour éviter ce type de situation ?

Il n’y a qu’un seul type de solution : avoir une maîtrise complète de la chaine. Les hackers et des pionniers comme Richard Stallman plaident pour cela : mettre les mains dans le cambouis, devenir autonome, s’héberger soi-même, gérer sa sécurité, crypter ses mails, chiffrer son disque dur, avoir des serveurs locaux ou ne rien avoir dans le cloud… Ceci étant, si on dit au citoyen qu’aucun système n’est infaillible, on ne lui apprend rien.

Il y a toujours un compromis entre la facilité des usages et la prise en compte de certains risques. Cette solution extrême n’est en effet pas à la portée de tout le monde, et c’est sur cet aspect-là que jouent les sociétés commerciales. Si on est tous sur Gmail et qu’on utilise des services de Google, c’est parce que c’est bien fichu, ça nous évite de le faire nous-mêmes et c’est gratuit.

Ceci étant, Apple avait passé un cap : quand on fait payer des services, l’utilisateur a-t-il le droit à une qualité de service ? Quand il y a un service gratuit comme Google, on peut se dire que rien n’est infaillible, vous ne payez pas pour le service donc il n’y a pas lieu de se plaindre. La politique d’Apple est par contre différente : il y a une partie gratuite dans l’iCloud mais surtout du payant.

Enfin, avoir un compte iTunes impose de mettre systématiquement sa carte bancaire, autre facteur de risque potentiel. Le hacker aurait tout à fait pu utiliser ces traces…

Gwendal PERRIN