C’est avec seulement 3 appels téléphoniques qu’un pirate est parvenu à détruire la vie numérique de Mat Honan, un journaliste américain.
Son iPhone, son iPad et son ordinateur personnels ont été ré-initialisés à distance. Tous ses albums photos stockés dans le « cloud » d’Apple (connu sous le nom « iCloud »), ainsi que ses sauvegardes de données, ont été détruit en quelques minutes.
L’ensemble de ses correspondances électroniques, envoyées et reçues depuis son compte Gmail ont également été détruites… en trois coups de fils et quelques clics.
Premier appel téléphonique au service client d’Amazon, en se faisant passer pour sa victime. La demande porte sur l’ajout d’une nouvelle carte bancaire au compte Amazon (lié à une adresse email). La carte bancaire en question est bien sûr piratée : soit le numéro a été généré artificiellement, soit il a été volé à un tiers.
Second appel téléphonique, toujours au service client Amazon, pour demander à modifier « son » adresse email. Pour prouver qu’il est bien le titulaire du compte, le pirate va donner un numéro de carte inscrit dans le compte… celui qu’il vient juste d’ajouter.
Une fois l’adresse email du client remplacée par celle du pirate, celui-ci peut utiliser l’interface web du site Amazon pour demander une ré-initialisation du mot de passe, et accéder au compte client de sa victime. A ce stade, il pourrait librement commander sur Amazon, en utilisant la carte bancaire (valide) renseignée dans le compte par son titulaire légitime. Mais surtout, il peut prendre connaissance des 4 derniers chiffres de cette carte bancaire, valide et appartenant à sa victime. Ces 4 derniers chiffres deviennent alors un véritable sésame pour le pirate.
Troisième appel téléphonique, cette fois au service client Apple, pour demander une remise à zéro de « son » mot de passe. Munis de l’adresse email, l’adresse postale, et des 4 derniers chiffres de la carte bancaire de sa victime, le pirate n’aura aucune difficulté à obtenir gain de cause.
Après avoir ainsi pris le contrôle du compte Apple/iTunes de Mat Honan, le pirate a pu lancer une remise à zéro à distance de l’iPad, l’iPhone, du MacBook ainsi que de toutes ses sauvegardes iCloud, détruisant des années d’archives, souvenirs, emails, photos, …
Dans la foulée, le pirate ayant remarqué que sa victime a utilisé son adresse email Apple comme adresse email de secours pour son compte Gmail, il a demandé l’envoi d’un nouveau mot de passe à cette adresse email secondaire Apple (dont il venait de prendre le contrôle), afin de supprimer purement et simplement le compte Gmail (et son contenu) de sa victime…
Cette mésaventure nous montre à quel point la diffusion publique (parfois à notre insu) de données personnelles (nom, adresse postale, adresse email,…) peut se retourner contre nous. A plus forte raison lorsque la même adresse email est utilisée pour plusieurs services en ligne. Pour éviter cela, à défaut de posséder son propre serveur d’emails, il est possible d’utiliser des services de redirections emails, qui se chargent de masquer la véritable adresse email.