En direct
Best of
Best of du 12 au 18 octobre
En direct
Flash-actu
Articles populaires
Période :
24 heures
7 jours
01.

Petit coup de projecteur sur le classement très discret des vrais salaires des hauts-fonctionnaires

02.

Ce que la médiation Blanquer-Taché dit vraiment de LREM

03.

Attention à vos smartphones, les cas de piratage sont de plus en plus fréquents

04.

Agression sexuelle : ça s'aggrave pour Patrick Bruel ; 25 ans et toutes ses dents, Madonna a un nouveau toyboy ; Céline Dion rate son 1er concert et ne sait plus où elle en est ; Les secrets du revirement de Laeticia Hallyday

05.

Des chercheurs identifient la mutation génétique qui explique que certaines personnes dorment très peu

06.

Corse : mobilisation pour la lutte contre une mafia... qui n’existe pas

07.

Pourquoi les chiffres officiels sur l’immigration ne décrivent que très approximativement la réalité française

01.

Agression sexuelle : ça s'aggrave pour Patrick Bruel ; 25 ans et toutes ses dents, Madonna a un nouveau toyboy ; Céline Dion rate son 1er concert et ne sait plus où elle en est ; Les secrets du revirement de Laeticia Hallyday

02.

Omar Sy, Pascal Boniface, Rokhaya Diallo, pourriez-vous regarder la photo d'Havrin Khalaf, violée et assassinée par les supplétifs d'Erdogan ?

03.

Les Mormons : l'influence du cercle des conseillers d'Emmanuel Macron

04.

Petit coup de projecteur sur le classement très discret des vrais salaires des hauts-fonctionnaires

05.

Privatisations : On pourra acheter des actions de la FDJ mais ça ne sera pas le loto

06.

Les musulmans persécutés en France ? La réalité par les chiffres

01.

Emmanuel Macron saura-t-il éviter le piège tendu par les islamistes (et aggravé par les idiots utiles du communautarisme) ?

02.

Les musulmans persécutés en France ? La réalité par les chiffres

03.

Les policiers arrêtent un jeune de 17 ans en pleine relation sexuelle avec une jument

04.

Omar Sy, Pascal Boniface, Rokhaya Diallo, pourriez-vous regarder la photo d'Havrin Khalaf, violée et assassinée par les supplétifs d'Erdogan ?

05.

Quand Eric Zemmour déclare que les homosexuels "choisissent leur sexualité"

06.

L’islamo-paranoïa des défenseurs auto-proclamés des musulmans français

ça vient d'être publié
décryptage > Culture
Atlanti-Culture

Livre : "Jour de courage" de Brigitte Giraud - Le jour du coming out d’un adolescent

il y a 4 sec
pépites > Société
Imbroglio politique
Irlande du Nord : Légalisation de l'avortement et du mariage homosexuel
il y a 2 heures 23 min
décryptage > Politique
Tribune

Logement : il faut faire tout le contraire de la politique d’Anne Hidalgo !

il y a 3 heures 55 min
décryptage > Social
Disparité

Partout dans l’OCDE, le problème spécifique du chômage des personnes originaires d’Afrique du Nord et du Moyen-Orient

il y a 4 heures 19 min
décryptage > Economie
Ecologisme

PLF 2020 : la fiscalité environnementale ne sauvera pas la planète

il y a 4 heures 48 min
décryptage > Science
Quand le ciel nous tombe sur la tête

L'Europe lance un programme de résilience aux tempêtes solaires

il y a 5 heures 18 min
décryptage > Atlantico business
Atlantico Business

Santé, retraite, service public : Macron tenté de reprendre son programme de réformes à zéro

il y a 5 heures 38 min
décryptage > Social
Attention, danger politique du troisième type

Gouvernement, minorités activistes et reste de la société : le trio infernal que plus rien ne relie ?

il y a 5 heures 56 min
décryptage > Culture
Atlanti-Culture

"Vania : Une même nuit nous attend tous" : "Oncle Vania" revisité

il y a 23 heures 59 min
décryptage > Culture
Atlanti-Culture

"Le roman de la France- une histoire de la liberté" de Laurent Joffrin : Tome 1, de Vercingétorix à Mirabeau

il y a 1 jour 16 min
décryptage > Culture
Atlanti-Culture

"Looking for Beethoven" de Pascal Amoyel : Une immersion totale vibrante, époustouflante dans le monde de Beethoven

il y a 4 min 42 sec
décryptage > Société
Imbroglio politique

Irlande du Nord : Légalisation de l'avortement et du mariage homosexuel

il y a 2 heures 25 min
décryptage > Social
Marronnier

La SNCF sur la voie de garage

il y a 4 heures 7 min
décryptage > Société
Cachez-moi ça

Des slips sur des statues de nus à l'UNESCO ! Pour ne pas heurter "certaines sensibilités"…

il y a 4 heures 38 min
décryptage > Santé
La vie est injuste

Des chercheurs identifient la mutation génétique qui explique que certaines personnes dorment très peu

il y a 5 heures 13 min
décryptage > Europe
Disraeli Scanner

Comment l’individualisme risque de détruire la démocratie

il y a 5 heures 23 min
décryptage > Société
Ultra moderne voilitude

Cette double crise de la modernité qui paralyse les réflexes démocratiques français

il y a 5 heures 43 min
pépite vidéo > Faits divers
Héroique
Etats-Unis : Il désarme un élève armé d'un fusil à pompe en lui faisant un câlin
il y a 22 heures 58 min
décryptage > Culture
Atlanti-Culture

Théâtre : "Sept ans de réflexion" : Une farce (un peu trop lourde) sur l'adultère

il y a 1 jour 10 min
light > Insolite
Dur à avaler
Un chef étoilé mange dans son restaurant : 14 000 euros de redressement de l'Ursaff
il y a 1 jour 2 heures
Hacker à coeur

Comment votre boîte mail peut être piratée en seulement trois coups de fil...

Publié le 08 août 2016
Mat Honan, journaliste à Wired, a récemment été l'objet d'un piratage retentissant.
Frédéric Bardeau est le fondateur et Vice-Président de l'agence LIMITE, pure player entièrement spécialisé en communication responsable.Il est l'auteur de Anonymous : pirates informatiques ou altermondialistes ? (FYP, 2011)
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Atlantico.fr et Frédéric Bardeau
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Frédéric Bardeau est le fondateur et Vice-Président de l'agence LIMITE, pure player entièrement spécialisé en communication responsable.Il est l'auteur de Anonymous : pirates informatiques ou altermondialistes ? (FYP, 2011)
Voir la bio
Ajouter au classeur
Vous devez être abonné pour ajouter un article à votre classeur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Lecture Zen
Vous devez être abonné pour voir un article en lecture zen.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Mat Honan, journaliste à Wired, a récemment été l'objet d'un piratage retentissant.

Voir l’intégralité de sa vie numérique effacé en seulement une heure ? C’est la mésaventure qui est arrivé à l’un des journalistes geeks les plus connus des Etats-Unis, Mat Honan de « Wired ». Coup sur coup, ses comptes Gmail, Twitter et Apple ont été piratés par un certain « Phobia » et ce, seulement grâce à trois coups de téléphone.

D’abord, le pirate a cherché à hacker le compte Twitter du journaliste (@Mat) via le mail rattaché, une adresse Gmail qu’il trouve via le site personnel de Mat Honan. Il découvre en cherchant à pirater cette adresse que l’adresse de secours du Gmail est celle d’un compte iCloud, sous format ***@me.com.

Phobia a alors réalisé qu’en ouvrant les clés du compte iCloud, le service de « cloud » d’Apple (NDLR : le cloud computing consiste à stocker des données sur des serveurs distants, et donc accessibles à partir de plusieurs appareils) il pouvait accéder à un nombre illimité d’informations sur Honan – ce qu’il ne s’est pas privé de faire. Mais pour cela, il a besoin de quatre informations : nom, e-mail, adresse et quatre derniers chiffres de la carte bancaire. Les deux premiers éléments déjà en poche, il trouve le troisième facilement sur la Toile. Pour la carte bancaire, l’astuce des pirates est aussi simple que machiavélique…

Un second hackeur appelle Amazon pour obtenir un nouveau numéro de carte bancaire. Pour ce faire, il a besoin de trois informations : nom du compte, e-mail et adresse de facturation. Ce qu’il a.

Phobia rappelle ensuite Amazon en expliquant ce coup-ci qu’il a oublié l’adresse mail associée au compte. De même, trois informations sont demandées par Amazon : nom du compte, adresse de facturation et numéro de carte bancaire. Le tour est joué : les quatre informations demandées pour débloquer l’iCloud de Mat Honan sont en la possession des pirates en seulement deux coups de fil.

Ne lui reste plus qu’à appeler la hotline d’Apple pour obtenir de nouveaux codes d’accès à l’iCloud, puis s’amuser avec tous les comptes personnels de Mat Honan : Twitter perso, Twitter du site Gizmodo auquel Honan a collaboré, Gmail (purement et simplement supprimé) et Apple. iCloud permet en effet d’accéder à toutes les données d’un appareil Apple ayant accès à Internet, et donc de les supprimer – ce que Phobia a fait.

Apple et Amazon ont réagi en suspendant immédiatement leurs procédures téléphoniques, et la marque à la pomme a pu restituer à Mat Honan l’ensemble de ses données. Mais cette affaire fait écho à une récente déclaration de Steve Wozniak, cofondateur d’Apple, qui disait justement que le cloud « va créer d’énormes problèmes dans les cinq prochaines années »

Atlantico : Est-ce que ce qui est arrivé à Mat Honan pourrait arriver à un citoyen français ?

Frédéric Bardeau : Je ne crois pas. C’est surtout la manière dont Mat Honan gérait ses données personnelles, qui fait qu’il était vulnérable à ce genre d’attaques. Il était très dépendant aux services d’Apple et d’Amazon.

Cette affaire constitue un cas d’école de la manière dont un Américain très connecté, très geek, peut gérer sa vie privée et ses données. Cela ne veut pas dire que le hack est impossible en France mais je pense que les Français n’ont pas les mêmes usages que les Américains.

Dans cette affaire, il aura suffi aux hackers de passer trois coups de téléphone. Est-ce que ce type d’agissements montre qu’il est de plus en plus facile de devenir un hacker, notamment avec le cloud ?

C’est tout de même un hack d’assez haut niveau malgré les apparences : il y a de plus en plus de hackers de bon niveau.

Disons qu’il y a de plus en plus de matière à piratage, à partir du moment où toutes les données sont dans le cloud. C’est ce que disent souvent les hackers et c’est pour cela qu’ils sont méfiants vis-à-vis du cloud : si chacun fait de l’auto-host et héberge donc soi-même ses données, si chacun est son propre cloud, qu’on garde nos informations, nos mails en local, les hacks sont plus difficiles que si l’on s’en remet à des opérateurs pour la gestion de nos données. On leur délègue donc la sécurité de nos données.

Le corollaire de cela est que si on est dépendant d’un opérateur en particulier et non pas de 50, le hack est d’autant plus facile. Honan avait fait le choix de tout mettre chez Apple…

Je pense que ce hack est très pédagogique. Il voulait justement montrer ces failles : le pirate n’a pas choisi n’importe quel utilisateur, il a choisi ce journaliste de « Wired », il voulait démontrer qu’Apple était faillible et que l’iCloud n’était pas un bon produit.

Justement, Apple et Amazon ont annoncé de nouvelles mesures pour lutter contre ces piratages. Sont-elles utiles ou ne sont-elles qu’un pansement sur une jambe de bois ?

Le problème de la sécurité est qu’il n’y a jamais de système 100% sûr. La faille est soit technique (mais elle l’est rarement), soit humaine, comme on le voit dans cette affaire : c’est la question de sécurité, le mot de passe qu’on met sur un post-it, quelqu’un qui donne son mot de passe aux mauvaises personnes… Apple et Amazon peuvent renforcer tout ce qu’ils veulent, cela ne veut pas dire qu’il n’y aura pas d’autres failles. S’il n’y avait que des machines qui utilisaient des machines, le hack serait difficile, mais tant qu’il y a un facteur humain au niveau du code, de la sécurisation ou de l’utilisation…

Les gens d’Apple sont dans une situation un peu compliquée en ce moment, il y a une grosse attente après le décès de Steve Jobs. Ils ont pris des mesures pour calmer le jeu mais ils savent que rien n’est 100% efficace : même en arrêtant de développer des produits et en se concentrant uniquement sur la sécurité, ils seraient quand même vulnérables. De plus, compte tenu de leur politique de gestion de la sécurité et des données confidentielles, Apple restera une cible forte pour les hackers.

Ce hack-là est d’ailleurs la démonstration par A+B que ce n’est pas un hack technique : c’est un hack qu’on dit de « social engineering », fait par quelqu’un de malin au cœur de l’humanité du système. Il n’a pas fait d’attaque par force brute (NDLR : méthode utilisée en cryptanalyse pour trouver des mots de passe), de sniffers (NDLR : sortes de sondes placées sur des réseaux et destinées à récupérer à la volée certains types d’informations), de keyloggers (NDLR : enregistreur des touches saisies sur le clavier)… Cet acte était ciblé, il avait une vocation d’exploit, de pédagogie.

Il n’y a pas eu d’exploitation des données, ce qui corrobore qu’il y avait une volonté d’exploit : montrer qu’il y a une faille, exploiter la faille, démontrer la vulnérabilité… Ceci était un hack pédagogique dans la plus pure tradition de la recherche de failles, qui vise deux cibles emblématiques : le geek absolu de Wired et les entreprises que sont Apple et Amazon.

C’est pour toucher à la fois les journalistes et les entreprises…

Oui, c’est clairement fait pour être retentissant.

Qu’est-ce qu’un utilisateur lambda peut faire pour éviter ce type de situation ?

Il n’y a qu’un seul type de solution : avoir une maîtrise complète de la chaine. Les hackers et des pionniers comme Richard Stallman plaident pour cela : mettre les mains dans le cambouis, devenir autonome, s’héberger soi-même, gérer sa sécurité, crypter ses mails, chiffrer son disque dur, avoir des serveurs locaux ou ne rien avoir dans le cloud… Ceci étant, si on dit au citoyen qu’aucun système n’est infaillible, on ne lui apprend rien.

Il y a toujours un compromis entre la facilité des usages et la prise en compte de certains risques. Cette solution extrême n’est en effet pas à la portée de tout le monde, et c’est sur cet aspect-là que jouent les sociétés commerciales. Si on est tous sur Gmail et qu’on utilise des services de Google, c’est parce que c’est bien fichu, ça nous évite de le faire nous-mêmes et c’est gratuit.

Ceci étant, Apple avait passé un cap : quand on fait payer des services, l’utilisateur a-t-il le droit à une qualité de service ? Quand il y a un service gratuit comme Google, on peut se dire que rien n’est infaillible, vous ne payez pas pour le service donc il n’y a pas lieu de se plaindre. La politique d’Apple est par contre différente : il y a une partie gratuite dans l’iCloud mais surtout du payant.

Enfin, avoir un compte iTunes impose de mettre systématiquement sa carte bancaire, autre facteur de risque potentiel. Le hacker aurait tout à fait pu utiliser ces traces…

Gwendal PERRIN

Les commentaires de cet article sont à lire ci-après
Articles populaires
Période :
24 heures
7 jours
01.

Petit coup de projecteur sur le classement très discret des vrais salaires des hauts-fonctionnaires

02.

Ce que la médiation Blanquer-Taché dit vraiment de LREM

03.

Attention à vos smartphones, les cas de piratage sont de plus en plus fréquents

04.

Agression sexuelle : ça s'aggrave pour Patrick Bruel ; 25 ans et toutes ses dents, Madonna a un nouveau toyboy ; Céline Dion rate son 1er concert et ne sait plus où elle en est ; Les secrets du revirement de Laeticia Hallyday

05.

Des chercheurs identifient la mutation génétique qui explique que certaines personnes dorment très peu

06.

Corse : mobilisation pour la lutte contre une mafia... qui n’existe pas

07.

Pourquoi les chiffres officiels sur l’immigration ne décrivent que très approximativement la réalité française

01.

Agression sexuelle : ça s'aggrave pour Patrick Bruel ; 25 ans et toutes ses dents, Madonna a un nouveau toyboy ; Céline Dion rate son 1er concert et ne sait plus où elle en est ; Les secrets du revirement de Laeticia Hallyday

02.

Omar Sy, Pascal Boniface, Rokhaya Diallo, pourriez-vous regarder la photo d'Havrin Khalaf, violée et assassinée par les supplétifs d'Erdogan ?

03.

Les Mormons : l'influence du cercle des conseillers d'Emmanuel Macron

04.

Petit coup de projecteur sur le classement très discret des vrais salaires des hauts-fonctionnaires

05.

Privatisations : On pourra acheter des actions de la FDJ mais ça ne sera pas le loto

06.

Les musulmans persécutés en France ? La réalité par les chiffres

01.

Emmanuel Macron saura-t-il éviter le piège tendu par les islamistes (et aggravé par les idiots utiles du communautarisme) ?

02.

Les musulmans persécutés en France ? La réalité par les chiffres

03.

Les policiers arrêtent un jeune de 17 ans en pleine relation sexuelle avec une jument

04.

Omar Sy, Pascal Boniface, Rokhaya Diallo, pourriez-vous regarder la photo d'Havrin Khalaf, violée et assassinée par les supplétifs d'Erdogan ?

05.

Quand Eric Zemmour déclare que les homosexuels "choisissent leur sexualité"

06.

L’islamo-paranoïa des défenseurs auto-proclamés des musulmans français

Commentaires (8)
Ecrire un commentaire
Vous devez être abonné pour rédiger un commentaire.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.
manissola
- 13/08/2012 - 09:46
CB sur Itunes
Il est indiqué qu'il faut un numéro de CB pour créer un compte ITunes. Pour ma part je n'en ai pas mis, et ça marche !
phranck
- 12/08/2012 - 17:07
cocorico
J'adore la reponse bien francaise pour l'exception de meme epithete:

Atlantico : Est-ce que ce qui est arrivé à Mat Honan pourrait arriver à un citoyen français ?

Frédéric Bardeau : Je ne crois pas

Et a un Suisse?..Ou un Belge?
Le gorille
- 12/08/2012 - 03:21
Naïveté, imprudence, folie...
Innover, innover encore, innover pour innover... tout cela sans réelle prise de conscience de leurs conséquences ! L'aventure... Sans m'appesantir sur le concept de "noosphère", le service informatique du "Nuage", cumulé aux différentes encyclopédies libres présentes sur la Toile, me semble matérialiser cette nouvelle strate de connaissances. Avec le danger : on est tout nu devant tout le monde !
Créer une strate de connaissance universelle avec Wikipédia et autres services similaires, oui. Que moi-même j'apporte mes propres fichiers, de manière naïve, à un marchand qui laisse la porte ouverte, ou plus nuancé, relativement aisément violable, c'est non !
L'informatique devient une idole, un dieu, celui de la toute puissance du savoir, sans pouvoir s'affranchir de la faillibilité humaine. Ces marchands jouent à l'apprenti-sorcier : je souhaite réflexion, afin de maîtriser l'actuel emballement. Je connais une personne qui recopie trois fois ses données, dont une sur le service du Nuage ! Mes nombreux lustres m'incitent à la prudence, bien que je reconnaisse être démuni face à la fragilité physique des supports numériques, si je gère en stricte autonomie.