Journal Hack : Un journaliste de Wired se fait piquer sa vie en ligne.

Posté par (page perso) . Licence CC by-sa
Tags :
30
9
août
2012

Wired a publié un article d'un de ses journalistes victime d'un hack, mettant en exergue les risques encourus à trop faire confiance aux grosses boites du Net qui veulent vous faciliter la vie en ayant tout en ligne.

http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/

Tout est parti d'un groupe de hackers qui trouvent le pseudo Twitter du journaliste particulièrement attirant, et décident de se l'approprier. Sur la page Twitter du journaliste, ils découvrent son adresse GMail. En allant sur la page de reset de Google, est affichée, en partie masquée, l’adresse e-mail secondaire qui permet la récupération du compte, une adresse Apple iCloud dont il est facile de deviner la partie cachée. Comment en obtenir l'accès?

Première étape: l'attaquant appelle le support d'Amazon en se faisant passer pour le journaliste, et en demandant d'ajouter un numéro de carte de crédit (bidon). Ensuite, l'attaquant rappelle le support d'Amazon, explique que le compte est bloqué. Pour le débloquer et recevoir un e-mail avec un nouveau mot de passe sur une nouvelle boite, il suffit de donner un numéro de carte de crédit enregistré via Amazon. Ça tombe bien, grace au numéro bidon donné auparavant, l'attaquant a accès au compte Amazon.

Via le compte Amazon, le hacker peut aller voir la liste des cartes de crédit enregistrées. Seuls les 4 derniers numéros sont affichés, mais c'est suffisant.

Deuxième étape: l'attaquant appelle le support de Apple en se faisant passer pour le journaliste, et indique qu'il a perdu le mot de passe. Pour le récupérer, il suffit de donner son nom, son addresse (un petit whois sur le site du journaliste a suffi), et les 4 derniers chiffres de sa carte de crédit. Cool, ce sont bien ceux récupérés sur Amazon.

Troisième étape: l'attaquant demande le reset du mot de passe Google, le récupère sur l'e-mail Apple. Pour effacer ses traces, il utilise la fonction de mise hors service à distance sur le MacBook du journaliste, effaçant des milliers de photos de famille.

Quatrième étape: l'attaquant demande le reset du mot de passe Twitter, le récupère via le compte GMail, et vide la boite GMail au passage. Win.

Morale de l'histoire:

  • Sauvegardez vos données
  • Utilisez la vérification 2 étapes sur votre compte Google (mot de passe + code envoyé via le téléphone portable)
  • Réfléchissez-y à deux fois avant d'utiliser des services sur le cloud
  • Ayez plusieurs comptes e-mail, non liés entre eux
  • Sauvegardez vos données
  • # Hack serieux ?

    Posté par (page perso) . Évalué à  -10 .

    Non serieux ? Hack ici ?

  • # Morale de l'histoire

    Posté par (page perso) . Évalué à  10 .

    Morale de l'histoire:

    • Amazon stocke vos numéros de carte banquaire (ça me choque vu le nombre d'affaires de vol de numéros de cartes bleu)
    • Apple stocke les mots de passe en clair
    • La sécurité d'un compte Google repose sur la sécurité de l'adresse mail de secours
    • La sécurité d'un compte Twitter repose sur la sécurité de l'adresse mail associée
    • Il y a une grosse faille de sécurité dans les services par téléphone d'Amazon qui permet de récupérer les 4 dernières chiffres des cartes banquaires utilisées par Amazon

    Globalement, de nos jours, la sécurité de tous les services en ligne repose sur l'authentification de son compte mail.

    Je vous conseille :

    • Ne pas réutiliser le mot passe de votre compte mail sur d'autres services
    • Si vous utilisez Goole : activer la double authentification, OTP via SMS (Google envoie un code de 6 chiffres quand on se connecte depuis un ordinateur inconnu)
    • Cacher vos informations personnelles : adresse et téléphone par exemple
    • De sauvegarder vos données, car mis à part les hacks, il y a aussi les pannes matérielles, les fausses manipulations ("rm -rf" du mauvais dossier, oups oups oups !), les catastrophes naturelles, le vol, données non récupérées quand on change d'ordinateur (ça m'arrive tous les 3 ans), etc. L'idéal étant d'avoir différents types de sauvegarde : serveurs quelque part sur l'internet, disques durs externes, DVD, etc. Et de les contrôler de temps à autre (avant LA catastrophe).

    Réfléchissez-y à deux fois avant d'utiliser des services sur le cloud

    Mouais, ça me semble être un raccourci un peu rapide quand même.

    • [^] # Re: Morale de l'histoire

      Posté par (page perso) . Évalué à  10 .

      Si vous utilisez Goole : activer la double authentification, OTP via SMS (Google envoie un code de 6 chiffres quand on se connecte depuis un ordinateur inconnu)

      Et si je veux pas donner mon numéro de portable à Google ?

      • [^] # Re: Morale de l'histoire

        Posté par . Évalué à  10 .

        Tu fais comme n'importe quelle personne qui ne leur fait pas suffisamment confiance pour laisser à google son numèro : tu n'utilises pas leurs services…

        • [^] # Re: Morale de l'histoire

          Posté par . Évalué à  2 .

          Ou alors tu utilises ton cerveau, c'est bien aussi.
          J'ai plusieurs adresses de courriel chez google, aucune adresse de récupération ni numéro de téléphone.
          Si j'oublie mon mot de passe, c'est fichu.

      • [^] # Re: Morale de l'histoire

        Posté par . Évalué à  3 .

        Je déconseille l'OTP par SMS. L'application smartphone (TOTP) marche bien, et c'est même possible d'utiliser une yubikey.

      • [^] # Re: Morale de l'histoire

        Posté par (page perso) . Évalué à  2 .

        Tu utilises Google authenticator sur ton téléphone, qui génère des numéros d'authentifications valides quelques secondes.
        Tu imprimes des numéros valables une seule fois et tu les stockes dans un lieu sûr pour le jour où tu perds/on te vole ton téléphone.

    • [^] # Re: Morale de l'histoire

      Posté par . Évalué à  9 .

      Apple stocke les mots de passe en clair

      je pense plutôt que la traduction a fait un raccourci ici : à mon avis il voulait dire qu'Apple avait réinitialisé son mot de passe, tout simplement, permettant aux crackers de prendre possession de son compte icloud

      De façon générale je trouve assez effarant le manque de sécurité de certains services, notamment quand la "question secrète" ne contient que des champs relativement faciles à trouver pour qui connait la cible (nom de jeune fille de la mère etc). Le mieux est encore de répondre n'importe quoi (eingousef par exemple) et de noter cette réponse au cas où.

      Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

      • [^] # Re: Morale de l'histoire

        Posté par . Évalué à  3 .

        Ou alors, il faut faire la gymnastique inverse
        Tu met la question secrete : nom de jeune fille de ta mere pour la réponse : nom de ton chien

        • [^] # Re: Morale de l'histoire

          Posté par (page perso) . Évalué à  9 .

          12 questions secrètes sur de multiples comptes plus loin, tu ne sais plus quelle question attend quelle réponse. Autant mettre un deuxième mot de passe directement, que tu prendras soin de perdre en même temps que le premier…

      • [^] # Re: Morale de l'histoire

        Posté par . Évalué à  2 .

        En plus, il existe des questions très difficiles à trouver pour un inconnu mais très facile pour soi, car tout le monde s'en souvient : "Quel est votre tout premier numéro de téléphone ?"

        "La liberté de tout dire n'a d'ennemis que ceux qui veulent se réserver le droit de tout faire". "La question n'est pas de savoir si vous avez quelque chose à cacher. La question est de savoir si c'est nous qui contrôlons le gouvernement ou l'inverse

        • [^] # Re: Morale de l'histoire

          Posté par . Évalué à  7 .

          "Quel est votre tout premier numéro de téléphone ?"

          Ça dépend pour qui.
          Mon numéro de téléphone actuel est aussi mon premier.

          • [^] # Re: Morale de l'histoire

            Posté par . Évalué à  3 .

            Celui de tes parents est sans doute le vrai tout premier.

            "La liberté de tout dire n'a d'ennemis que ceux qui veulent se réserver le droit de tout faire". "La question n'est pas de savoir si vous avez quelque chose à cacher. La question est de savoir si c'est nous qui contrôlons le gouvernement ou l'inverse

            • [^] # Re: Morale de l'histoire

              Posté par . Évalué à  1 .

              Mes parents n'ont eu le téléphone qu'après mon départ.

              • [^] # Re: Morale de l'histoire

                Posté par . Évalué à  7 .

                Le type qui remet en cause un bon conseil parce qu'il fait partie des 0.1% qui ne peuvent pas l'appliquer.

                • [^] # Re: Morale de l'histoire

                  Posté par . Évalué à  6 .

                  Moui, m'enfin le numero de tel de tes parents, c'est pas dur à trouver…

                  Donc à mon avis c'est valable pour les gens qui ont changé de numéro plusieurs fois depuis qu'ils ne sont plus chez leur parents, du coup tu peux augmenter le 0.1%…

            • [^] # Re: Morale de l'histoire

              Posté par . Évalué à  5 .

              Celui de mes parents se trouve dans un annuaire, assez facilement si on connait mon nom et mon village d'origine…

              Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

        • [^] # Re: Morale de l'histoire

          Posté par . Évalué à  6 .

          Je ne m'en souviens pas ! :'

        • [^] # Re: Morale de l'histoire

          Posté par . Évalué à  2 .

          Si on en a eu plusieurs on peut aussi utiliser les codes successifs de ses cartes bancaires…

    • [^] # Re: Morale de l'histoire

      Posté par . Évalué à  4 .

      • La sécurité d'un compte Google repose sur la sécurité de l'adresse mail de secours
      • La sécurité d'un compte Twitter repose sur la sécurité de l'adresse mail associée

      Ça doit pouvoir se généraliser à au moins 90% des services en lignes.

      Perso, le mot de passe de mon adresse email, c'est celui que je considère comme le plus critique (avant même celui de ma banque) et le plus important à protéger, parce qu'un email compromis, ça ouvre la porte à énormément de choses…

  • # Sinon...

    Posté par (page perso) . Évalué à  10 .

    Y a toujours l'auto hébergement. ( en tout cas, moi, j'attends de voir comment quelqu'un va me donner un coup de fil pour que je me donne mon mot de passe pour obtenir l’accès à mon compte, et commiter dans mon dépôt puppet pour effacer mes serveurs )

    • [^] # Re: Sinon...

      Posté par . Évalué à  1 .

      +1

      Il existe aussi des services de "duplication" de boite mail. Genre :
      http://imapsync.lamiral.info/
      https://ssl0.ovh.net/fr/imapcopy/

    • [^] # Re: Sinon...

      Posté par . Évalué à  4 .

      On peut aussi acheter un nom de domaine chez un registrar et faire un renvois sur gmail ou autre. Ainsi en cas de vol de compte, il suffit de changer la redirection du mail (à condition de ne pas stoquer tous ses mots de passe chez google…).

      "La liberté de tout dire n'a d'ennemis que ceux qui veulent se réserver le droit de tout faire". "La question n'est pas de savoir si vous avez quelque chose à cacher. La question est de savoir si c'est nous qui contrôlons le gouvernement ou l'inverse

      • [^] # Re: Sinon...

        Posté par . Évalué à  1 .

        ou alors adherer à APRIL, on a un bel alias monSuperAliasTralalalere@april.org (j'espere que personne a ça…)

      • [^] # Re: Sinon...

        Posté par . Évalué à  1 .

        Ouais enfin à partir du moment où le gars a accès à ton compte gmail, il peut très rapidement récupérer les accès à n'importe quel service qui fait de la récupération de compte par mail. Ton temps de réaction sera sans doute trop long pour remédier à ça.

    • [^] # Re: Sinon...

      Posté par . Évalué à  5 .

      Ce n'est pas une solution pour tous. Un serveur mal installé, une mise à jour oubliée, et y a même pas besoin de passer de coup de fil pour obtenir un accès root.

      Opera le fait depuis 10 ans.

      • [^] # Re: Sinon...

        Posté par (page perso) . Évalué à  5 .

        Faut voir. Dans un sens, c'est sûr: tu n'es sans doute (enfin je dis toi, c'est général hein, moi non plus!!) pas aussi bon que l'expert sécu Google (espérons au moins!!).
        D'un autre côté, en autohébergement, à moins qu'on utilise tous la même solution technique, faut déjà être un peu renseigné sur le serveur derrière, ses points faibles, etc. On commence à filtrer les mecs qui ne vont pas plus loin que le coup de fil, et les mecs qui ne bitent pas trop l'exploitation des failles de sécu.
        Ensuite, si on utilise tous une solution technique un peu différente, on réduit encore les chances de se faire défoncer le serveur. Ce sera limite une attaque ad nominem bien identifiée, sinon le pirate passe son chemin parce qu'il ne va pas se prendre la tête sur notre cas particulier pendant 3 semaines.

        Donc, finalement, c'est peut-être mieux quand même!!

        • [^] # Re: Sinon...

          Posté par (page perso) . Évalué à  3 .

          Sans compter que les failles de sécu, il n'y en a pas non plus tous les jours si je me fie aux annonces de sécurité de Debian (pour les logiciels que j'utilise) et que toutes les failles ne permettent pas de lire mes mails. Par exemple, la dernière faille est pour Django ne permet que de faire du XSS ou du DOS, ce qui ne permet pas de lire mes mails ; la dernière faille PHP permet d'exécuter du code mais ça reste confiné à l'utilisateur du serveur web, c'est-à-dire www-data et il ne peut pas non plus lire mes mails il me semble.

          « Moi, lorsque je n’ai rien à dire, je veux qu’on le sache. » Raymond Devos

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.