Comment un hacker a forcé Apple à revoir sa politique de sécurité

iCloud, social engineering, Wired et une dose d’Amazon

Mat Honan est un journaliste High-Tech reconnu dans la profession. Ancien de chez Gizmodo, il travaille pour Wired et en fervent Applephile, possède toute la panoplie des équipements de la marque à la pomme : Macbook, iPad, iPhone et bien entendu un compte iCloud pour partager ses données. Vendredi dernier, sa journée a été ruinée par une équipe de jeunes hackers, lorsqu’ils décidèrent de pirater son compte Gmail et d’accéder à son compte iCloud avant d’en effacer les données. Son compte Twitter a également été détourné, mais tous ses appareils avaient été rendus inaccessibles et surtout il a perdu un grand nombre de fichiers personnels, dont des photos. Il n’a jamais fait de copie de secours.

Phobia, le jeune hacker de 19 ans, est entré en contact avec Honan. Déclarant qu’il avait fait cela pour pointer du doigt la politique de sécurité défaillante d’Apple, il expliqua comment il put s’immiscer dans les comptes numériques du journaliste, sans utiliser de méthodes brutales. La vraie partie technique fut de pirater le compte Google, ce qui ne posa pas de réel problème. Ensuite, Phobia et son (ses ?) acolyte(s) utilisèrent une méthode d’ingénierie sociale pour obtenir l’accès au compte iCloud de la victime. Un simple coup de fil au tech center d’Apple suffit, avec en main le nom et l’adresse du journaliste et les quatre derniers chiffres de sa carte de crédit, récupérés entre temps par le service de changement de mot de passe d’Amazon.

Cela suffit pour que Honan voit sa vie numérique complétement effacée. Meurtri, il publia tout de même un long article racontant son histoire, d’abord sur son blog, puis sur le site du magazine. Mais cela n’engendra aucune réponse d’Apple, pourtant mis au courant. Il faudra que l’un de ses confrères Wiredien arrive à reproduire la forfaiture, exactement de la même manière, pour que la firme de Cupertino admette via voie de presse que le système de modification des mots de passe doit être revu et corrigé, entrainant une suspension pendant 24h de ce service.

A l’heure actuelle, nous ignorons comment Apple va réussir à améliorer ses services. Une chose est sûre, nous vous avions déjà évoqué les différents problèmes qui tournent autour du Mac, tout comme les sites spécialisés qui pointent du doigt les défauts dans la cuirasse d’Apple. Le social engineering n’est pas encore considéré comme un « hack » sérieux, mais pourtant les MacUsers sont des victimes en puissance et beaucoup plus vulnérables, du fait de sentiment de sécurité qu’ils éprouvent. Un bon conseil, que nous adressons à tout le monde, pensez à bien séparer tous vos comptes mails et comptes clients, à bien posséder des mots de passe uniques et appliquer toutes les procédures nécessaires pour s’assurer que personne ne vienne rôder dans votre vie privée numérique.

Update: Amazon a annoncé avoir modifié la politique de renvoi des informations clients, comblant la faille qui a permise au hacker de justifier son identité auprès des techniciens d'Apple.