Wired a publié un article d'un de ses journalistes victime d'un hack, mettant en exergue les risques encourus à trop faire confiance aux grosses boites du Net qui veulent vous faciliter la vie en ayant tout en ligne.
http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/
Tout est parti d'un groupe de hackers qui trouvent le pseudo Twitter du journaliste particulièrement attirant, et décident de se l'approprier. Sur la page Twitter du journaliste, ils découvrent son adresse GMail. En allant sur la page de reset de Google, est affichée, en partie masquée, l’adresse e-mail secondaire qui permet la récupération du compte, une adresse Apple iCloud dont il est facile de deviner la partie cachée. Comment en obtenir l'accès?
Première étape: l'attaquant appelle le support d'Amazon en se faisant passer pour le journaliste, et en demandant d'ajouter un numéro de carte de crédit (bidon). Ensuite, l'attaquant rappelle le support d'Amazon, explique que le compte est bloqué. Pour le débloquer et recevoir un e-mail avec un nouveau mot de passe sur une nouvelle boite, il suffit de donner un numéro de carte de crédit enregistré via Amazon. Ça tombe bien, grace au numéro bidon donné auparavant, l'attaquant a accès au compte Amazon.
Via le compte Amazon, le hacker peut aller voir la liste des cartes de crédit enregistrées. Seuls les 4 derniers numéros sont affichés, mais c'est suffisant.
Deuxième étape: l'attaquant appelle le support de Apple en se faisant passer pour le journaliste, et indique qu'il a perdu le mot de passe. Pour le récupérer, il suffit de donner son nom, son addresse (un petit whois sur le site du journaliste a suffi), et les 4 derniers chiffres de sa carte de crédit. Cool, ce sont bien ceux récupérés sur Amazon.
Troisième étape: l'attaquant demande le reset du mot de passe Google, le récupère sur l'e-mail Apple. Pour effacer ses traces, il utilise la fonction de mise hors service à distance sur le MacBook du journaliste, effaçant des milliers de photos de famille.
Quatrième étape: l'attaquant demande le reset du mot de passe Twitter, le récupère via le compte GMail, et vide la boite GMail au passage. Win.
Morale de l'histoire:
- Sauvegardez vos données
- Utilisez la vérification 2 étapes sur votre compte Google (mot de passe + code envoyé via le téléphone portable)
- Réfléchissez-y à deux fois avant d'utiliser des services sur le cloud
- Ayez plusieurs comptes e-mail, non liés entre eux
- Sauvegardez vos données
# Hack serieux ?
Posté par dafp . Évalué à -10.
Non serieux ? Hack ici ?
[^] # Re: Hack serieux ?
Posté par dafp . Évalué à -10.
Hack. J'avais pas lu. boulet
# Morale de l'histoire
Posté par Victor STINNER (site web personnel) . Évalué à 10.
Morale de l'histoire:
Globalement, de nos jours, la sécurité de tous les services en ligne repose sur l'authentification de son compte mail.
Je vous conseille :
Réfléchissez-y à deux fois avant d'utiliser des services sur le cloud
Mouais, ça me semble être un raccourci un peu rapide quand même.
[^] # Re: Morale de l'histoire
Posté par Diagonale de Cantor (site web personnel) . Évalué à 10.
Et si je veux pas donner mon numéro de portable à Google ?
[^] # Re: Morale de l'histoire
Posté par plouf2123 . Évalué à 10.
Tu fais comme n'importe quelle personne qui ne leur fait pas suffisamment confiance pour laisser à google son numèro : tu n'utilises pas leurs services…
[^] # Re: Morale de l'histoire
Posté par moi1392 . Évalué à 2.
Ou alors tu utilises ton cerveau, c'est bien aussi.
J'ai plusieurs adresses de courriel chez google, aucune adresse de récupération ni numéro de téléphone.
Si j'oublie mon mot de passe, c'est fichu.
[^] # Re: Morale de l'histoire
Posté par ribwund . Évalué à 3.
Je déconseille l'OTP par SMS. L'application smartphone (TOTP) marche bien, et c'est même possible d'utiliser une yubikey.
[^] # Re: Morale de l'histoire
Posté par Fabimaru (site web personnel) . Évalué à 2.
Tu utilises Google authenticator sur ton téléphone, qui génère des numéros d'authentifications valides quelques secondes.
Tu imprimes des numéros valables une seule fois et tu les stockes dans un lieu sûr pour le jour où tu perds/on te vole ton téléphone.
[^] # Re: Morale de l'histoire
Posté par B16F4RV4RD1N . Évalué à 9.
je pense plutôt que la traduction a fait un raccourci ici : à mon avis il voulait dire qu'Apple avait réinitialisé son mot de passe, tout simplement, permettant aux crackers de prendre possession de son compte icloud
De façon générale je trouve assez effarant le manque de sécurité de certains services, notamment quand la "question secrète" ne contient que des champs relativement faciles à trouver pour qui connait la cible (nom de jeune fille de la mère etc). Le mieux est encore de répondre n'importe quoi (eingousef par exemple) et de noter cette réponse au cas où.
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: Morale de l'histoire
Posté par Katyucha (site web personnel) . Évalué à 3.
Ou alors, il faut faire la gymnastique inverse
Tu met la question secrete : nom de jeune fille de ta mere pour la réponse : nom de ton chien
[^] # Re: Morale de l'histoire
Posté par Maclag . Évalué à 9.
12 questions secrètes sur de multiples comptes plus loin, tu ne sais plus quelle question attend quelle réponse. Autant mettre un deuxième mot de passe directement, que tu prendras soin de perdre en même temps que le premier…
[^] # Re: Morale de l'histoire
Posté par Nicolas Boulay (site web personnel) . Évalué à 2.
En plus, il existe des questions très difficiles à trouver pour un inconnu mais très facile pour soi, car tout le monde s'en souvient : "Quel est votre tout premier numéro de téléphone ?"
"La première sécurité est la liberté"
[^] # Re: Morale de l'histoire
Posté par netsurfeur . Évalué à 7.
Ça dépend pour qui.
Mon numéro de téléphone actuel est aussi mon premier.
[^] # Re: Morale de l'histoire
Posté par Nicolas Boulay (site web personnel) . Évalué à 3.
Celui de tes parents est sans doute le vrai tout premier.
"La première sécurité est la liberté"
[^] # Re: Morale de l'histoire
Posté par netsurfeur . Évalué à 1.
Mes parents n'ont eu le téléphone qu'après mon départ.
[^] # Re: Morale de l'histoire
Posté par kursus_hc . Évalué à 7.
Le type qui remet en cause un bon conseil parce qu'il fait partie des 0.1% qui ne peuvent pas l'appliquer.
[^] # Re: Morale de l'histoire
Posté par CHP . Évalué à 6.
Moui, m'enfin le numero de tel de tes parents, c'est pas dur à trouver…
Donc à mon avis c'est valable pour les gens qui ont changé de numéro plusieurs fois depuis qu'ils ne sont plus chez leur parents, du coup tu peux augmenter le 0.1%…
[^] # Re: Morale de l'histoire
Posté par 2PetitsVerres . Évalué à 5.
Celui de mes parents se trouve dans un annuaire, assez facilement si on connait mon nom et mon village d'origine…
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
[^] # Re: Morale de l'histoire
Posté par ✅ ffx . Évalué à 6.
Je ne m'en souviens pas ! :'
[^] # Re: Morale de l'histoire
Posté par Marotte ⛧ . Évalué à 2.
Si on en a eu plusieurs on peut aussi utiliser les codes successifs de ses cartes bancaires…
[^] # Re: Morale de l'histoire
Posté par Buf (Mastodon) . Évalué à 4.
Ça doit pouvoir se généraliser à au moins 90% des services en lignes.
Perso, le mot de passe de mon adresse email, c'est celui que je considère comme le plus critique (avant même celui de ma banque) et le plus important à protéger, parce qu'un email compromis, ça ouvre la porte à énormément de choses…
# Sinon...
Posté par Misc (site web personnel) . Évalué à 10.
Y a toujours l'auto hébergement. ( en tout cas, moi, j'attends de voir comment quelqu'un va me donner un coup de fil pour que je me donne mon mot de passe pour obtenir l’accès à mon compte, et commiter dans mon dépôt puppet pour effacer mes serveurs )
[^] # Re: Sinon...
Posté par Mimoza . Évalué à 1.
+1
Il existe aussi des services de "duplication" de boite mail. Genre :
http://imapsync.lamiral.info/
https://ssl0.ovh.net/fr/imapcopy/
[^] # Re: Sinon...
Posté par Nicolas Boulay (site web personnel) . Évalué à 4.
On peut aussi acheter un nom de domaine chez un registrar et faire un renvois sur gmail ou autre. Ainsi en cas de vol de compte, il suffit de changer la redirection du mail (à condition de ne pas stoquer tous ses mots de passe chez google…).
"La première sécurité est la liberté"
[^] # Re: Sinon...
Posté par fabricius . Évalué à 1.
ou alors adherer à APRIL, on a un bel alias monSuperAliasTralalalere@april.org (j'espere que personne a ça…)
[^] # Re: Sinon...
Posté par rzx . Évalué à 1.
Ouais enfin à partir du moment où le gars a accès à ton compte gmail, il peut très rapidement récupérer les accès à n'importe quel service qui fait de la récupération de compte par mail. Ton temps de réaction sera sans doute trop long pour remédier à ça.
[^] # Re: Sinon...
Posté par Astaoth . Évalué à 5.
Ce n'est pas une solution pour tous. Un serveur mal installé, une mise à jour oubliée, et y a même pas besoin de passer de coup de fil pour obtenir un accès root.
Emacs le fait depuis 30 ans.
[^] # Re: Sinon...
Posté par Maclag . Évalué à 5.
Faut voir. Dans un sens, c'est sûr: tu n'es sans doute (enfin je dis toi, c'est général hein, moi non plus!!) pas aussi bon que l'expert sécu Google (espérons au moins!!).
D'un autre côté, en autohébergement, à moins qu'on utilise tous la même solution technique, faut déjà être un peu renseigné sur le serveur derrière, ses points faibles, etc. On commence à filtrer les mecs qui ne vont pas plus loin que le coup de fil, et les mecs qui ne bitent pas trop l'exploitation des failles de sécu.
Ensuite, si on utilise tous une solution technique un peu différente, on réduit encore les chances de se faire défoncer le serveur. Ce sera limite une attaque ad nominem bien identifiée, sinon le pirate passe son chemin parce qu'il ne va pas se prendre la tête sur notre cas particulier pendant 3 semaines.
Donc, finalement, c'est peut-être mieux quand même!!
[^] # Re: Sinon...
Posté par claudex . Évalué à 3.
Sans compter que les failles de sécu, il n'y en a pas non plus tous les jours si je me fie aux annonces de sécurité de Debian (pour les logiciels que j'utilise) et que toutes les failles ne permettent pas de lire mes mails. Par exemple, la dernière faille est pour Django ne permet que de faire du XSS ou du DOS, ce qui ne permet pas de lire mes mails ; la dernière faille PHP permet d'exécuter du code mais ça reste confiné à l'utilisateur du serveur web, c'est-à-dire www-data et il ne peut pas non plus lire mes mails il me semble.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.