Life

Comment ne pas se faire pirater son compte

Les quatre conseils à suivre absolument si vous ne voulez pas subir le sort de Mat Honan, journaliste techno.

<a href="http://www.flickr.com/photos/hackny/7036223605/">Spring 2012 Student Hackaton Coding</a> / hackNY via FlickrCC <a href="http://creativecommons.org/licenses/by-sa/2.0/deed.fr">LicenceBy</a>
Spring 2012 Student Hackaton Coding / hackNY via FlickrCC LicenceBy

Temps de lecture: 10 minutes

Vendredi dernier, dans la soirée, un hackeur s'est introduit dans le compte Apple de Mat Honan. Il a effacé à distance toutes les données qui se trouvaient sur son iPhone, son iPad et son MacBook,  supprimé son compte Google et pris les commandes de son compte Twitter, pour ensuite poster plein de vilaines choses en son nom.

Voici encore peu de temps, Honan, qui écrit pour Wired et qui est l'un de mes journalistes techno préférés, travaillait à Gizmodo et son compte Twitter restait lié au compte principal de ce blog – ce qui fait que, là-bas aussi, et pendant environ 15 minutes, le hackeur a pu s'en donner à cœur joie niveau injures et horreurs racistes.

J'étais dans un avion qui traversait les États-Unis quand j'ai lu le premier post d'Honan relatant son piratage. Le capitaine venait à peine d'activer le Wi-Fi à bord de la cabine que j'ai fait ce que je fais toujours quand j'entends parler d'une attaque qui aurait pu m'arriver: j'ai modifié mes mots de passe. Mes angoisses se sont calmées, mais, dans ce cas, la manœuvre n'aurait rien changé.

Honan a passé son week-end pendu au téléphone, entre le service technique d'Apple et – assez bizarrement – son hackeur. Le lundi matin, le pillage de ses identités numériques n'avait plus aucun secret pour lui. Conclusion de son enquête: de bons mots de passe ne lui auraient été d'aucun secours.

Dans un long article publié dans Wired, Honan explique que le hackeur s'est introduit dans son compte, non pas en devinant ses mots de passe, mais en les demandant. Vendredi, le pirate a appelé le service technique d'Apple en se faisant passer pour lui et en prétendant qu'il n'arrivait plus à accéder à son compte. A l'autre bout du fil, l'employé d'Apple a demandé au hackeur les réponses aux questions de sécurité d'usage, ce à quoi le pirate a visiblement rétorqué qu'il les avait oubliées.

Pas de problème, car le pirate savait quelque-chose que nous sommes nombreux à ignorer: si vous n'arrivez pas à répondre à vos questions de sécurité, Apple vous donnera quand même un autre mot de passe si vous arrivez à prouver que vous êtes la personne que vous prétendez être via un autre type d'identification. Et quelle identification vous demande-t-on chez Apple pour réinitialiser votre mot de passe? Votre adresse de facturation et les quatre derniers chiffres de votre carte de crédit.

Les adresses de facturation sont faciles à trouver sur Internet, et les numéros de cartes de crédit sont à peine plus difficiles à débusquer. Le hackeur avait toutes ces données en sa possession. L'adresse de facturation, il se l'était procurée par le nom de domaine du site personnel d'Honan, et les numéros de sa carte de crédit, il avait pu les récupérer grâce un autre mastodonte d'Internet, Amazon.

Le pirate avait demandé à Amazon de remplacer l'adresse mail d'Honan par la sienne – celle du hackeur – sur son compte, une requête qu'Amazon s'était empressée de satisfaire. Ensuite, le hackeur s'est fait envoyer via Amazon un mail de récupération de mot de passe –il a donc reçu sur son propre mail un lien qui lui a permis de changer le mot de passe du compte d'Honan et d'accéder à toutes les informations qu'il contenait, y compris de voir les quatre derniers chiffres de sa carte de crédit.

Et là, bingo! Le hackeur pouvait maintenant accéder au compte Apple d'Honan et supprimer toutes les données des appareils liés à son profil iCloud (son iPad, son iPhone et son Mac). Et parce que l'adresse du compte Apple d'Honan était l'adresse alternative de son compte Google, le hackeur n'avait plus qu'à se faire envoyer par Google un lien de récupération de mot de passe pour accéder aussi à son compte Gmail. 

L'histoire est horrible. Les défaillances sont nombreuses – elles sont relativement minces de la part d'Honan (il n'avait pas sauvegardé ses données), mais elles sont énormes et effrayantes en ce qui concerne Apple et Amazon. Néanmoins, en détaillant ce piratage spectaculaire, il est possible d'en retenir quelques leçons.

Pour réduire la probabilité de ce genre d'attaque, voici quatre choses qu'utilisateurs comme entreprises devraient faire immédiatement:

 

1. Tout le monde devrait, tout de suite, se mettre à l'authentification forte

Pour accéder à la plupart des comptes sur Internet, vous n'avez qu'à récupérer un seul type de données –un mot de passe. (Sur de nombreux services –vos comptes mail, Twitter ou Facebook–  votre nom d'utilisateur est votre signature publique, à laquelle tout le monde a accès). 

A une époque, les mots de passe étaient suffisants (et vous devriez suivre mes conseils pour vous en créer de très sécurisés et de très facilement mémorisables), mais vu que nous stockons désormais tant d'informations sensibles en ligne, il nous faut des précautions supplémentaires.

Heureusement, cette précaution existe. Malheureusement, très peu de gens l'utilisent. Cela s'appelle «l'authentification forte» –il s'agit d'un système de sécurité requérant deux éléments de validation avant de vous laisser accéder à votre compte. Le premier est quelque-chose que vous savez –votre mot de passe. Le second, quelque-chose que vous avez en votre possession: un marqueur biométrique (votre empreinte digitale, par exemple), une clé électronique ou –la plus aisée des options– un téléphone portable générant un code unique.

L'an dernier, Google a ajouté un système à authentification forte sur ses comptes.  La chose fonctionne parfaitement: une fois l'option activée, installez l'application «authentificatrice» sur votre smartphone. Ensuite, dès que vous voudrez vous connecter, il faudra taper votre mot de passe et le code généré par votre téléphone (ce qui fonctionne même s'il n'est pas relié à Internet). Si vous n'avez pas de smartphone, il est aussi possible de recevoir ce code par SMS. Sur Facebook, aussi, ce genre de validation en deux étapes est disponible depuis l'an dernier.

Le problème de l'authentification forte, c'est qu'elle est un peu pénible. Sur Google, il est possible, sur certains appareils enregistrés, de n'avoir à saisir le code qu'une fois toutes les deux semaines, mais c'est encore trop fatigant quand on est paresseux. Pire encore, vu que certains programmes qui se connectent à votre compte Gmail n'utilisent pas l'authentification forte –l'application mail de votre smartphone, par exemple– il vous faudra passer d'autres épreuves de configuration avant de pouvoir vous en servir correctement. Ce qui demande un minimum de connaissances techniques, le bouzin n'étant pas encore suffisamment accessible à la majorité des utilisateurs.

Ce qui explique, je suppose, qu'Apple n'ait pas encore ajouté l'authentification forte à ses services. Mais j'espère qu'elle cherche actuellement un moyen d'augmenter son niveau de protection et de permettre au grand public d'y accéder (une idée: un lecteur d'empreintes digitales intégré à tous ses appareils). Si un tel système avait été en service, l'attaque des appareils d'Honan n'aurait jamais eu lieu. Même si le hackeur connaissait son mot de passe, il lui aurait manqué l'autre élément –l'empreinte, le code, le truc en plus– pour accéder à ses comptes.  

Ensuite, Honan n'avait pas activé la validation en deux étapes sur son compte Google. S'il l'avait fait, le pirate n'aurait pas pu accéder à son compte Gmail après le torpillage de son compte Apple. Certes, il aurait pu se faire envoyer un mail de récupération de mot de passe, mais le code généré par le smartphone d'Honan lui aurait toujours manqué.

 

2. Sérieux, payez-vous un service de sauvegarde. Faites-le maintenant. Vous attendez quoi?

La seconde leçon à retenir de de drame est évidente: faites des copies de sauvegarde de toutes vos données. Il y a de grandes chances que vous ne le fassiez pas. Vous pensez peut-être que c'est trop difficile ou trop onéreux. Vous pensez peut-être que rien ne vous arrivera. Ou vous avez peut-être l'intention de le faire dès que vous aurez un moment de libre, le week-end prochain par exemple.

Mais le meilleur moment pour le faire, c'est maintenant. Oubliez tout ce que vous avez entendu, la sauvegarde de secours est facile et pas chère. Avant, je conseillais aux gens d'utiliser Mozy, mais j'ai désormais opté pour un service qui s'appelle CrashPlan –c'est la façon la plus simple et la plus économique de sauvegarder toutes vos données.

Voici comment faire. Rendez-vous sur le site de CrashPlan. Téléchargez le logiciel. Choisissez les trucs sur votre ordinateur que vous voulez sauvegarder –vos documents, photos, vidéos, musique, etc. Laissez ensuite le programme tourner. Dans quelques jours –en fonction de la quantité de vos données et de la vitesse de votre bande passante– vos données seront encryptées et envoyées aux serveurs de CrashPlan, qui les sécurisera bien mieux que vous

Pour tout cela, les tarifs de CrashPlan (après un mois d'essai gratuit) sont vraiment formidables. Vous ne paierez qu'1,5 dollar [1,2 euro] par mois  pour un ordinateur et 10 GB de données, 3 dollars [2,4 euros] pour un ordinateur et une capacité illimitée et 6 dollars [4,9 euros] par mois pour un maximum de dix ordinateurs et aucune limite de données (en somme, pour protéger tous vos appareils).

Quand je conseille de faire des sauvegardes dans le cloud, les gens font souvent la moue –et si les serveurs de CrashPlan étaient détruits ou piratés? A mon avis, ces angoisses sont infondées (si CrashPlan se fait pirater, vos données sont de toute façon encryptées), mais en matière de sauvegarde, on n'est jamais trop prudent. Si vous voulez aussi faire une copie de secours de vos données sur un disque dur externe, faites-vous plaisir. Et, ici aussi, le logiciel de CrashPlan peut vous être utile.

Vous avez l'impression de lire une publicité pour CrashPlan? Sachez que l'entreprise ne m'a pas payé un centime pour écrire cela, mais je ne rigole pas quand je dis que CrashPlan est l'extension la plus précieuse et la plus utile que vous pourrez vous acheter.

De fait, si j'étais le roi d'Internet, la sauvegarde de secours serait implémentée partout et par défaut. N'importe quel appareil aurait son système de sauvegarde et vos données seraient copiées automatiquement, sauf si vous avez choisi de ne pas le faire. La première entreprise à proposer ce service fera un malheur.

Si Apple veut réellement faire le bonheur de ses utilisateurs, elle devrait racheter CrashPlan, intégrer le service dans tous ses appareils et proposer gratuitement et à tout le monde une capacité de sauvegarde illimitée. Apple a suffisamment d'argent pour cela et l'entreprise ne devrait pas avoir de mal à comprendre quel immense atout marketing se cache derrière des systèmes de sauvegarde bien conçus: «Ne perdez plus jamais rien». Pas mal comme slogan, non?

 

3. L'effacement à distance ne sert à rien. Désactivez l'option «Find My Mac» et encryptez plutôt vos données.

Avoir la possibilité de retrouver vos appareils perdus, sur le papier, c'est une très bonne idée. Vous avez dépensé beaucoup d'argent pour cette tablette, ce téléphone et cet ordinateur portable. Pourquoi ne pas vouloir les localiser en cas de perte ou de vol? Et dans ce dernier cas, ne voudriez-vous pas, aussi, pouvoir effacer vos données à distance et empêcher le voleur d'y farfouiller?

En théorie, oui, évidemment. Mais l'intégration par Apple de l'option «Find My» à son système n'est pas des plus sécurisée. Si un pirate rentre dans votre compte iCloud, il pourra se connecter à tous vos appareils et supprimer toutes les données qu'ils contiennent. C'est ce qui est arrivé à Honan, et c'est ce qui pourrait vous arriver aussi.

Tant qu'Apple n'aura pas trouvé de meilleur moyen pour empêcher à d'autres personnes d'effacer vos données (avec peut-être un système à authentification forte sur l'effacement de données à distance), il vaut mieux désactiver l'option Find My Mac.

Mais que faire si quelqu'un rentre, physiquement, dans votre ordinateur –comment empêcher l'accès à vos données si votre ordinateur tombe entre de mauvaises mains? En réalité, il existe une solution plus efficace que l'effacement à distance: cela s'appelle le chiffrement de disque. L'option est intégrée au Mac et à certaines versions de Windows, il ne vous reste plus qu'à l'activer (voici comment le faire sur Mac OS Lion et sur les versions Ultimate ou Enterprise de Windows 7).

Avec le chiffrement de disque, tous les bits de tout votre disque dur sont sens dessus-dessous; la seule façon d'y accéder, c'est de rentrer un mot de passe (ici aussi, évidemment, l'authentification forte est recommandée). Le chiffrement de disque ralentit un chouïa votre ordinateur, mais cela n'est pas très grave. Et si vous le perdez ou qu'on vous le vole, vous pouvez être sûr que vos données seront en sécurité –à moins que le pirate connaisse votre mot de passe, il ne pourra pas y accéder.

 

4. Attention à la récupération de mot de passe. Faites en sorte que vos comptes ne soient pas reliés les uns aux autres.

Dernière chose à faire: vérifiez qu'on ne peut pas remonter tous vos compte grâce au système de récupération de mot de passe. En particulier, jetez un œil à vos comptes mails principaux, vos comptes bancaires et financiers, vos réseaux sociaux, etc. Chacun de ces services vous demande une adresse mail pour récupérer votre mot de passe en cas d'oubli.

Et s'ils sont tous liés les uns entre les autres, il suffira de pirater un seul compte pour accéder à tous les autres. Par exemple, si vous avez configuré votre Gmail pour qu'il vous envoie le lien de récupération sur votre compte Apple, et si votre banque vous les envoie sur votre Gmail, un pirate qui voudra faire des ravages dans vos finances n'aura qu'à récupérer votre mot de passe iTunes (qui n'est probablement pas très long, car vous détestez taper votre mot de passe sur votre écran tactile quand vous voulez télécharger des applications).

Avec votre mot de passe iTunes, il pourra accéder à votre Gmail en demandant une récupération de mot de passe, une fois dans votre Gmail il pourra accéder de la même manière à votre compte en banque, et ainsi de suite. C'est précisément ce qui est arrivé à Honan.

Ici, quelle est la solution? Créer une adresse mail unique, ultra-sécurisée, à laquelle vous vous ferez envoyer toutes vos demandes de récupération de mot de passe. Qu'est-ce que j'entends par ultra-sécurisée? Un compte Gmail –quelque-chose qui ressemble à [email protected]– flanqué d'un mot de passe extra-solide et sur lequel l'authentification forte sera activée.

Ensuite, allez sur tous vos comptes et renseignez cette adresse secrète dans le champ de récupération de mot de passe. Il est très important de ne jamais utiliser cette adresse pour quoi que ce soit d'autre –n'envoyez jamais de mail avec, ne l'inscrivez pas à des newsletters, que personne ne sache qu'elle est liée à votre personne. Tant qu'elle restera secrète, tous vos mots de passe récupérés par ce biais seront sûrs.

En ligne, rien n'est jamais sûr à 100% –s'ils sont déterminés, des hackeurs peuvent accéder à tout ce qu'ils veulent, il faut juste qu'ils s'en donnent la peine. Mais le type qui a attaqué Honan était loin d'être un génie. C'était juste un gamin qui voulait emmerder le monde et qui connaissait quelques points faibles d'Apple, d'Amazon, et d'autres services qui régissent nos vies en ligne. Mais avec quelques petites précautions, son attaque aurait été bien plus difficile à réaliser. Les conseils que je viens de vous donner ne sont vraiment pas compliqués. A vous maintenant de les suivre, sans plus attendre.

Farhad Manjoo  

Traduit par Peggy Sastre

cover
-
/
cover

Liste de lecture