Un journaliste américain, Mat Honan, s'est fait pirater de belle manière. Les données de son iPhone, de son iPad et de son MacBook ont été effacées et son compte Twitter a servi à diffuser des messages racistes et homophobes.
Au départ, le pirate voulait pirater le compte Twitter de Mat. Sur ce compte Twitter figurait un lien vers le site personnel de Mat et dans le site on pouvait trouver une adresse Gmail de Mat. Le pirate part du principe que Mat utilise cette adresse pour se connecter à Twitter. Il a de la chance c'est le cas. Ou si vous préférez, Mat est bien imprudent à laisser trainer ainsi sur le Net une adresse mail qui lui sert à se connecter sur des comptes sensibles.
Bien sûr, le pirate n'a pas le mot de passe de l'adresse Gmail. Alors il demande une réinitialisation. Gmail l'informe alors que le nouveau mot de passe est envoyé à une adresse en @me.com, ce qui revient à dire en clair que Mat a un compte chez Apple. Deuxième erreur de Mat, utiliser une autre adresse mail sensible comme adresse de secours.
Le pirate va donc s'attaquer au compte Apple de Mat. Pour cela, il a besoin du nom de Mat, de son e-mail, de son adresse et des quatre derniers chiffres de sa carte bancaire. En faisant une recherche sur Google (ou un autre moteur de recherche), le pirate trouve facilement l'adresse de Mat qui comme le reste traîne... Il ne manque plus que les numéros de la carte bancaire...
Mat commande souvent sur Amazon, il y a donc un compte... Le pirate téléphone à Amazon, en se faisant facilement passer pour Mat, car Amazon lui demande seulement les nom du compte, adresse e-mail et adresse de facturation, données qu'il possède. Identifié, il demande à Amazon d'ajouter une carte bancaire au compte. Il s'agit d'une carte bancaire tout à fait normale que possède le pirate. Amazon ajoute la carte au compte.
Un peu plus tard, le pirate rappelle Amazon en baratinant qu'il a perdu l'adresse mail associée à son compte Amazon. Amazon lui demande alors son nom, son adresse de facturation et son numéro de carte bancaire. Et bien sûr le gars connaît le numéro de carte, puisqu'il vient de l'ajouter lui-même... Amazon envoie donc au pirate un nouveau mot de passe sur une adresse e-mail qu'il donne lors de cet appel téléphonique.
Le pirate est maintenant totalement maître du compte Amazon de Mat. Il s'y connecte et récupère les 4 derniers numéros de la vraie carte bancaire de Mat. Il a donc tout ce qu'il lui faut pour prendre le contrôle du compte Apple de Mat.
Le pirate appelle alors la hotline Apple et demander de nouveaux accès. Avec ceux-ci, il se connecte au compte de Mat. Il ne lui reste plus qu'à demander à nouveau une réinitialisation de mot de passe du compte Gmail de Mat, puis de Twitter qui lui envoie un nouveau mot de passe sur le compte Gmail.
Le pirate est maître de tout. Bien sûr, il s'est amusé a polluer le compte Twitter de Mat. C'était son but dès le départ. Mais se limiter à cela ne lui a pas semblé suffisamment amusant. Ayant accès au compte Apple, il a eu accès aux services iCloud qui permet d'accéder à toutes les données enregistrées par les appareils Apple connectés à Internet. Ce qui lui a permis de tout effacer...
A la suite de cette histoire, Apple et Amazon ont suspendu les procédures par téléphone et vont remettre à plat leur gestion de la sécurité. Mais quoi qu'ils fassent, n'oubliez jamais la moralité de l'histoire :
- Ne laissez jamais traîner d'adresse mails sur Internet, si ces adresses ont un autre usage que de vous contacter par mail
- Mieux ne laissez traîner aucune adresse mail. Si vous avez un site personnel, utilisez un formulaire de contact qui ne permet pas de voir la moindre adresse mail
- N'utilisez jamais, comme adresse de secours ou de récupération de mot de passe, une adresse liée à un compte sensible. Préférez toujours pour cela une adresse mail chez votre fournisseur d'accès, connu de vous seul et réservé à cet usage
- Ne laissez jamais traîner d'informations personnelles telles qu'une adresse postale
