S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Piratage de compte : Apple audite ses méthodes de vérification d'identité

À quelque chose malheur est bon

Nous avons fait écho hier dans nos colonnes de la mésaventure d’un journaliste du magazine Wired. Un pirate a pris le contrôle de trois de ses machines reliées par un compte iCloud, en s’en prenant directement à ce dernier. Le pirate n’a eu besoin que d’appeler l’Apple Care et de se faire passer pour sa victime afin d’obtenir une demande de réinitialisation du mot de passe. Un acte qui n’est visiblement pas resté sans conséquences chez Apple.

icloud

La source du problème : des informations pas si anodines

L’histoire du journaliste Mat Honan fait la synthèse puis cristallise toutes les peurs liées au cloud. Le compte iCloud peut être utilisé pour de nombreuses fonctionnalités de sauvegardes, de synchronisation et de contrôle sur les Mac, iPhone ou encore iPad. Mat Honan possédait d’ailleurs un de chaque et a perdu l’usage de ses machines une fois son compte compromis.

 

Le pirate avait récupéré les informations nécessaires auprès du support technique d’Amazon : l’adresse email, les quatre derniers chiffres de la carte bancaire ou encore l’adresse. Il les avait ensuite utilisé pour s’authentifier après du service client d’Apple. De là, il avait ensuite pu déclencher des verrouillages et des effacements de données, puis prendre le contrôle, non seulement de son compte Gmail (dont le compte iCloud était l’email de secours), mais également de son compte Twitter.

 

Comme Honan le raconte lui-même dans sa version complète de l’histoire sur Wired, c’est à la base une faille de sécurité chez Amazon qui a mené au désastre. Ce dernier considère en effet que les quatre derniers chiffres de la carte bancaire ne sont pas importants et ne peuvent pas être exploités en tant que tels. Malheureusement, ces mêmes chiffres sont demandés par Apple comme preuve d'authentification. Mais comme il l’explique lui-même, il est également artisan de sa propre situation puisque ses comptes étaient chainés. Autrement dit, obtenir le contrôle du compte principal faisait ensuite basculer les autres.

Apple bloque les réinitialisations par téléphone

Mat Honan a depuis discuté avec Apple du problème de sécurité dans la vérification des informations. La porte-parole Natalie Kerris a déclaré qu’Apple « prend la sécurité des clients très au sérieux et requiert de multiples formes de vérification avant de réinitialiser un mot de passe Apple ID. Dans ce cas particulier, les données du client ont été compromises par une personne qui avait acquis des informations personnelles. De plus, nous avons découvert que nos propres politiques internes n’avaient pas été complètement suivies. Nous examinons actuellement nos processus pour la réinitialisation des mots de passe afin de s’assurer que les données de nos clients sont protégées ».

 

Cependant, même si la communication d’Apple semble indiquer que tout repose sur un suivi scrupuleux de ses règles, une source interne à la firme a indiqué à Wired qu’un blocage de 24 heures avait été mis en place sur la procédure de réinitialisation. Toujours selon cette source, le blocage aurait été instauré pour laisser le temps à Apple de vérifier si des règles devaient être changées. Un blocage vérifié en tout cas par Wired, qui a tenté de faire réinitialiser un mot de passe auprès du service client, sans succès (l’employé ne comprenait d’ailleurs pas pourquoi la manipulation ne fonctionnait pas).

La sécurité ne doit pas venir que de l'utilisateur

La situation illustre en fait les dangers inhérents au cloud. Sans parler évidemment de psychose, la prévalence de ce type de service est en marche. Dans les années qui viennent, des données toujours plus nombreuses et importantes basculeront dans des espaces de stockage en ligne : Google, Microsoft et Apple, pour ne parler que d’eux, s’y emploient fortement. Or, si ces services offrent de nombreuses possibilités fort pratiques, leur sécurité sera cruciale.

 

Dans un long article résumant toute sa mésaventure, Mat Honan reconnaît que certains de ses choix n’étaient pas judicieux. Toutefois, il se dit « en colère » de constater que l’écosystème dans lequel il a placé tant de sa confiance l’a aussi rapidement « laissé tomber ». Il est également en colère contre Amazon pour avoir laissé si facilement filtrer des informations qui ont permis d’enclencher toute la suite d’évènements. Sachez cependant qu’Amazon a justement indiqué hier que cette situation ne se reproduirait plus.

 

En définitive, il est clairement dommage qu’une telle situation ait dû se produire pour que deux acteurs majeurs de l’internet réalisent non seulement que leurs méthodes sont faillibles, mais que des interactions sont possibles entre plusieurs infrastructures de sécurité.

Source : Wired
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Google+

Publiée le 08/08/2012 à 11:01

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...
;