Le piratage du compte du journaliste, adepte du "cloud", qui permet de connecter entre eux smartphones et ordinateurs, était d'une simplicité effrayante.
Le temps avance et le "cloud" prend une place de plus en plus importante. Grâce au "nuage", vos données personnelles stockées seront accessibles depuis n'importe quel appareil. L'enjeu majeur reste la mise en place d'une protection irréprochable. Une simple brèche, un simple piratage et toute votre vie sera accessible. Et sur ce point, Apple a été mis en échec.
Mark Honan, journaliste à Wired, a récemment été l'objet d'un piratage. Petite particularité, le journaliste est détenteur d'un compte iCloud qui permet de connecter entre eux le MacBook, l'iPad, l'iPhone et le compte Gmail qu'il possède. Concrètement, il peut avoir accès à toutes ses données personnelles d'où il veut. C'est sur son blog qu'il raconte sa mésaventure.
iPhone, iPad, MacBook piratés un à un
Le 3 août, à 16h50, une personne accède au compte iCloud personnel de Mark Honan... avec le bon mot de passe. Ce dernier était composé de sept caractères alphanumériques uniquement dédié à ce compte. Tout d'abord, Mark Honan imagine que le hacker a utilisé un logiciel spécifique pour pirater son mot de passe. Le journaliste du magazine Wired n'imagine pas être si loin de la réalité.
Dès qu'il découvre l'intrusion, tout s'enchaine pour Mark Honan :
- A 16h52, il reçoit sur son adresse @mac.com (compte iCloud) un email qui signale le changement de mot de passe de son compte Gmail.
- A 17h00, son iPhone voit ses données effacées via un ordre à distance.
- A 17h01, son iPad est piraté.
- A 17h05, son MacBook Air est aussi attaqué.
Concrètement, tous les appareils connectés entre eux grâce à l'iCloud sont attaqué.
Pour sauver ce qui peut l'être encore, Mark Honan tente quelques manipulations. Il souhaite se connecter à son compte Gmail depuis l’ordinateur de sa femme. Sans succès. Le mot de passe a changé. Son compte Twitter est à son tour piraté. Désespéré, il contacte alors le service client d’Apple par téléphone.
"Apple ne savait pas épeler mon nom de famille"
"Le support technique d'Apple n'a pu vérifier aucune de mes informations : ni mon adresse, ni mon numéro de carte de crédit, rien. Ils m'ont fait aller sur le site, où j'ai pu à nouveau changer mon mot de passe."
Mark Hanon constate qu'après d'une heure et demie à discuter au téléphone, le service technique d'Appel ne savait toujours pas épeler son nom de famille correctement. "Ils étaient à la recherche du compte de quelqu'un d'autre. Une fois que nous avons franchi cet obstacle, eh bien, en fait, rien n'a vraiment changé."
Le journaliste de Wired enchaine : "Ils n'étaient pas en mesure de stopper le piratage de mon MacBook. Ou de me donner un code sécurisé pour me connecter. Ou me donner un accès immédiat à mon téléphone. Ils ne pouvaient pas faire grand-chose, réellement."
Le pirate a simplement appelé Apple
Mark Hanon apprend plus tard, par le pirate, qui a pris contact avec lui, qu'il n'a même pas eu besoin d'un logiciel. La vérité est bien plus simple : le pirate a juste appelé l’Apple Care, le service technique, et a réussi à se faire passer pour le journaliste. Le hacker a passé les questions de sécurité sans problème et a demandé une réinitialisation du mot de passe.
Depuis, la situation s'est arrangé pour Mat Honan. Il peut de nouveau utiliser son iPad et son iPhone. Il a récupéré son compte Gmail. Il a créé un nouveau compte Twitter pour exposer sa situation. Le journaliste de Wired indique avoir envoyé un email au PDG d’Apple, Tim Cook. A peine dix minutes plus tard, il a reçu un appel de l’Apple Care : la firme était au courant de la situation. Selon Honan, Apple réfléchit au cas et quelles méthodes utiliser pour ne pas qu’il se reproduise.
Le co-fondateur d'Apple prévoit "des problèmes horribles"
Le problème de protection des données personnelles stockées sur un "cloud" en inquiète plus d'un et notamment Steve Wozniak, co-fondateur d'Apple avec Steve Jobs, il y a plus de 30 ans.
L'ingénieur s'inquiète surtout de la façon dont a évolué le stockage des données, passant du disque dur aux serveurs à distance, un procédé connu sous le nom d'"informatique en nuage" ou "informatique externalisée". "Cela me tracasse vraiment que tout passe dans le nuage, je crois que ça va être épouvantable. Je pense qu'il va y avoir des problèmes horribles dans les cinq prochaines années", pense-t-il.
"Avec le nuage, rien ne vous appartient", renchérit encore Steve Wozniak. "Moi, j'aime savoir que les choses sont à moi. Beaucoup disent 'oh ! C'est dans mon ordinateur !' mais plus on transfère dans le nuage, moins on garde le contrôle."
Combien cela coûte-t-il au total ? Quelles aides apportent l'état et les acteurs du marché pour alléger cette charge non choisie ? Tous les détails sur Commentçamarche.net.
Mouarf c'est excellent :-D
Bonjour! Je suis telle personne, merci de me réinitialiser mon mot de passe.
Mais bien sûr monsieur !
La plupart du temps, on réinitialisait les mot de passe sur simple demande 'de la personne' sans aucune vérification (même pas un code matricule).
Les logiciels de crackage de mot de passe qu'ils utilisent dans les films... bah c'est du cinéma, 90% des piratages se font 'au bagout', sans compétences informatiques, juste en appellant les bonnes personnes, et en posant les bonnes questions.
j'ai connu aussi...
pour des raisons d'inadéquation entre les responsables sécurités et les utilisateurs.
regles de sécurités standard, mais 5 personnes qui doivent utiliser 3 pcs en libre service, avec des mots de passes qui expirent...
y'a pas le choix, faut trouver une astuce, ce qui fait que 4 ans après, je suis sur que je peux y aller et me connecter...
et effectivement, le post-it, j'ai connu aussi.
trop de sécurité, tue la sécurité.
et je suppose que le responsable sécurité, dans sa tour d'argent, ne veut pas entendre parler du particularisme et créer une gpo à sécuritée réduite (quitte à réduire les droits)....
ou alors aller de l'autre coté, et utiliser un accès smartcard. (beaucoup plus sécure, et plus simple à utiliser pour les utilisateurs)