Ce n'est pas tout. Le courrier électronique d'un journaliste et ses comptes de réseaux sociaux sont piratés. Après tout, nous nous attendrions à ce que ces personnes soient plus avisées sur le plan technologique que le reste de nous, les mortels. Mais même avec des mots de passe sécurisés, les pirates informatiques peuvent toujours trouver des moyens ingénieux de mener des attaques d'ingénierie sociale. Et cela peut parfois impliquer le service clientèle de votre fournisseur de services préféré.
Mat Honan, qui écrit pour Wired, explique comment son "vie numérique" a été anéantie par un pirate informatique qui voulait corrompre son compte Twitter @mat.
En une heure, toute ma vie numérique a été détruite. Mon compte Google a d'abord été repris, puis supprimé. Ensuite, mon compte Twitter a été compromis et utilisé comme plate-forme pour diffuser des messages racistes et homophobes. Et le pire de tout, mon compte AppleID a été cassé, et mes pirates l'ont utilisé pour effacer à distance toutes les données de mon iPhone, de mon iPad et de mon MacBook.
Comptes en série
Le pirate informatique a exploité le fait que les comptes Gmail, Apple ID, Twitter et Amazon de Honan utilisaient un mélange d'e-mails de récupération de mot de passe, d'informations de carte de crédit et même du même identifiant d'utilisateur (le préfixe précédant le @ inscrivez votre adresse e-mail).
Le hacker, qui s'appelle "Phobia", correspond aux quatre derniers chiffres du numéro de carte de crédit de Honan provenant d'Amazon. Bien que cela soit inoffensif en soi, ce ne sont que des résumés qui sécurisent l'identité d'Apple, et Phobia a accès à l'identifiant Apple de Honan.
Phobia allait s'introduire dans le compte Gmail de Honan, puis sur Twitter. Le pirate informatique a ensuite altéré le compte Twitter @mat avec des messages homophobes et racistes. Les iPhone, iPad et MacBook de Honan n'étaient que des dommages collatéraux.
Le fait que les dispositifs de Honan aient été effacés à distance avec une blessure à l'insulte, puisqu'il a dit qu'il était pressé. Il n'y avait pas d'autres sauvegardes, sauf pour iCloud.
Utilisation de la vérification en deux étapes
Honan estime désormais que "les systèmes basés sur le cloud nécessitent des mesures de sécurité fondamentalement différentes". Les informations des utilisateurs étant de plus en plus transférées vers le cloud, les fournisseurs de services souhaitent améliorer leur façon de vérifier l'identité. En fait, tous les fournisseurs de l’écosystème cloud doivent coordonner leurs efforts en matière de sécurité. Les comptes d'utilisateurs étant connectés à différents services, les pirates malveillants peuvent les exploser et les exploiter pour obtenir un accès non autorisé.
Matt Cutts, de Google, a souligné que l'utilisation de la vérification en deux étapes peut fournir un niveau de sécurité supplémentaire. Étant donné que la vérification en deux étapes nécessite quelque chose que vous connaissez (votre mot de passe) et que vous possédez (votre téléphone portable), les pirates informatiques sont moins susceptibles de pouvoir entrer par effraction.
Voici une présentation vidéo pour la vérification à deux facteurs que Matt Cutts a publiée sur son blog.
Réparer la brèche
Apple a déclaré que leurs propres politiques internes n'étaient pas complètement complètes. Au moment de la rédaction de ce rapport, Apple et Amazon ont toutefois modifié leurs politiques de sécurité afin d'empêcher toute intrusion similaire. Amazon interdit désormais l'ajout d'informations de carte de crédit par téléphone. De même, Apple ne communiquera plus les mots de passe temporaires de la même manière.
Celles-ci soulignent néanmoins le problème sous-jacent du cloud computing. Les informations de nos utilisateurs se déplacent de plus en plus vers le cloud et nous dépendons de plus en plus des politiques de sécurité de nos fournisseurs de services. Mais avec de plus en plus de détails - et de fichiers personnels - sur Internet, il est plus facile pour les personnes mal intentionnées de causer des dommages, même sans notre intervention.
Conseil: utilisez des mots de passe plus sécurisés, utilisez des mots de passe différents selon les services et activez la vérification en deux étapes.