S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : Fêtons la TVA à 2,1 % : abonnez-vous dès 17 € par an !

Piratage de compte : Apple audite ses méthodes de vérification d'identité

À quelque chose malheur est bon

Nous avons fait écho hier dans nos colonnes de la mésaventure d’un journaliste du magazine Wired. Un pirate a pris le contrôle de trois de ses machines reliées par un compte iCloud, en s’en prenant directement à ce dernier. Le pirate n’a eu besoin que d’appeler l’Apple Care et de se faire passer pour sa victime afin d’obtenir une demande de réinitialisation du mot de passe. Un acte qui n’est visiblement pas resté sans conséquences chez Apple.

icloud

La source du problème : des informations pas si anodines

L’histoire du journaliste Mat Honan fait la synthèse puis cristallise toutes les peurs liées au cloud. Le compte iCloud peut être utilisé pour de nombreuses fonctionnalités de sauvegardes, de synchronisation et de contrôle sur les Mac, iPhone ou encore iPad. Mat Honan possédait d’ailleurs un de chaque et a perdu l’usage de ses machines une fois son compte compromis.

 

Le pirate avait récupéré les informations nécessaires auprès du support technique d’Amazon : l’adresse email, les quatre derniers chiffres de la carte bancaire ou encore l’adresse. Il les avait ensuite utilisé pour s’authentifier après du service client d’Apple. De là, il avait ensuite pu déclencher des verrouillages et des effacements de données, puis prendre le contrôle, non seulement de son compte Gmail (dont le compte iCloud était l’email de secours), mais également de son compte Twitter.

 

Comme Honan le raconte lui-même dans sa version complète de l’histoire sur Wired, c’est à la base une faille de sécurité chez Amazon qui a mené au désastre. Ce dernier considère en effet que les quatre derniers chiffres de la carte bancaire ne sont pas importants et ne peuvent pas être exploités en tant que tels. Malheureusement, ces mêmes chiffres sont demandés par Apple comme preuve d'authentification. Mais comme il l’explique lui-même, il est également artisan de sa propre situation puisque ses comptes étaient chainés. Autrement dit, obtenir le contrôle du compte principal faisait ensuite basculer les autres.

Apple bloque les réinitialisations par téléphone

Mat Honan a depuis discuté avec Apple du problème de sécurité dans la vérification des informations. La porte-parole Natalie Kerris a déclaré qu’Apple « prend la sécurité des clients très au sérieux et requiert de multiples formes de vérification avant de réinitialiser un mot de passe Apple ID. Dans ce cas particulier, les données du client ont été compromises par une personne qui avait acquis des informations personnelles. De plus, nous avons découvert que nos propres politiques internes n’avaient pas été complètement suivies. Nous examinons actuellement nos processus pour la réinitialisation des mots de passe afin de s’assurer que les données de nos clients sont protégées ».

 

Cependant, même si la communication d’Apple semble indiquer que tout repose sur un suivi scrupuleux de ses règles, une source interne à la firme a indiqué à Wired qu’un blocage de 24 heures avait été mis en place sur la procédure de réinitialisation. Toujours selon cette source, le blocage aurait été instauré pour laisser le temps à Apple de vérifier si des règles devaient être changées. Un blocage vérifié en tout cas par Wired, qui a tenté de faire réinitialiser un mot de passe auprès du service client, sans succès (l’employé ne comprenait d’ailleurs pas pourquoi la manipulation ne fonctionnait pas).

La sécurité ne doit pas venir que de l'utilisateur

La situation illustre en fait les dangers inhérents au cloud. Sans parler évidemment de psychose, la prévalence de ce type de service est en marche. Dans les années qui viennent, des données toujours plus nombreuses et importantes basculeront dans des espaces de stockage en ligne : Google, Microsoft et Apple, pour ne parler que d’eux, s’y emploient fortement. Or, si ces services offrent de nombreuses possibilités fort pratiques, leur sécurité sera cruciale.

 

Dans un long article résumant toute sa mésaventure, Mat Honan reconnaît que certains de ses choix n’étaient pas judicieux. Toutefois, il se dit « en colère » de constater que l’écosystème dans lequel il a placé tant de sa confiance l’a aussi rapidement « laissé tomber ». Il est également en colère contre Amazon pour avoir laissé si facilement filtrer des informations qui ont permis d’enclencher toute la suite d’évènements. Sachez cependant qu’Amazon a justement indiqué hier que cette situation ne se reproduirait plus.

 

En définitive, il est clairement dommage qu’une telle situation ait dû se produire pour que deux acteurs majeurs de l’internet réalisent non seulement que leurs méthodes sont faillibles, mais que des interactions sont possibles entre plusieurs infrastructures de sécurité.

Source : Wired
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 08/08/2012 à 11:01

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 20 commentaires

Avatar de bakou INpactien
bakou Le mercredi 8 août 2012 à 11:35:52
Inscrit le jeudi 12 mai 05 - 90 commentaires
Meme si Apple peut en effet être mis en cause, il est clair que la faute revient à AMAZON.
J'hallucine que des infos comme le mail de vérification et les numéros de la CB puissent être affichés dans une page de demande de récupération/réinitialisation de mot de passe.
C'est quasi la base de la sécurité: ne jamais fournir la moindre information tant que l'identité de l'utilisateur n'a pas pu être établie.
Avatar de nucle INpactien
nucle Le mercredi 8 août 2012 à 11:51:17
Inscrit le mardi 13 juillet 04 - 3587 commentaires
J'hallucine que des infos comme le mail de vérification et les numéros de la CB puissent être affichés dans une page de demande de récupération/réinitialisation de mot de passe.
C'est quasi la base de la sécurité: ne jamais fournir la moindre information tant que l'identité de l'utilisateur n'a pas pu être établie.


+1, ça me fait penser à Facebook qui affiche la photo, le nom et le prénom de la personne dès que le login est correct.
Avatar de nucle INpactien
nucle Le mercredi 8 août 2012 à 11:52:57
Inscrit le mardi 13 juillet 04 - 3587 commentaires
En définitive, il est clairement dommage qu’une telle situation ait dû se produire pour que deux acteurs majeurs de l’internet réalisent non seulement que leurs méthodes sont faillibles, mais que des interactions sont possibles entre plusieurs infrastructures de sécurité.


Dommage, peut-être, mais ça sera toujours ainsi. Ce sont les crises qui vont faire avancer la sécurité.
Avatar de chienbleu INpactien
chienbleu Le mercredi 8 août 2012 à 11:53:13
Inscrit le mercredi 16 février 05 - 149 commentaires
Chouette, on a une adresse à cambrioler, où on est certains de trouver du matos

Merci Vincent
Avatar de frscot INpactien
frscot Le mercredi 8 août 2012 à 12:20:55
Inscrit le mardi 18 mai 10 - 591 commentaires
Certes Amazon n'est pas tout blanc, mais rejeter la faute dessus est un peu gros. Les 4 derniers chiffres de la carte bleu sont presents sur les tickets de caisses.Les seuls d'ailleurs, donc demander que les 4 derniers de la part d'Apple n'est pas non plus tres intelligent.

Il y a 20 commentaires

;