Apple, le Cloud et Mat Honan : genèse d’un fait-divers technologique

Pour une banale série de négligences, la presse en ligne accable deux boucs-émissaires bien pratiques : le cloud computing, et les géants américains de l’informatique.

Mat Honan, nouveau martyr de l’high-tech.

Les titres du 6 août sont alarmants. Ils pleurent une vie « détruite », « réduite en poussière » (20minutes.ch), « en trois clics » (Atlantico), « en trois coups de téléphone » (Le Figaro), « en une heure » (Télérama). Est-ce un viol ? Un meurtre ? Un sordide chantage qui a mal tourné, une affaire de pédophilie, un braquage qui aurait dégénéré ? Une nouvelle tuerie américaine ? Un attentat aux JO de Londres ? « Voilà une mésaventure que personne n’aimerait vivre » prévient d’emblée le site d’information spécialisé 01.net. « Un véritable cauchemar » renchérissent le Figaro et 20 minutes. Le lecteur a déjà verrouillé sa porte blindée, récupéré son 9mm de sous son oreiller et allumé une chaîne d’info en continu. On le sent à deux doigts de se saisir de son téléphone pour prendre des nouvelles de sa famille. Jusqu’à ce qu’il prenne conscience de l’ampleur du drame.

La victime se nomme Mat Honan, et c’est son histoire va faire le tour des rédactions en ligne. C’est faire beaucoup d’honneur à l’histoire de Mat. En temps normal, une mésaventure comme la sienne ne se retrouve pas dans les pages de Wired, et elle éveille encore plus rarement l’attention de la presse nationale. En fait, si Mat avait été quelqu’un d’autre, son histoire aurait reçu, au mieux, le hochement de tête poli d’un collègue à la machine à café, ou quinze minutes d’attention lors du repas dominical, ou à la rigueur l’approbation silencieuse de sa boulangère au moment de lui rendre la monnaie. Mais voilà, Mat ne fait pas un métier comme les autres : il est journaliste pour le magazine américain Wired, la parution de référence dans le milieu du high-tech. Et ce sont justement sa profession ainsi que le prestige de son employeur, qui vont permettre la transformation de cette mésaventure tout à fait ordinaire en un véritable fait-divers technologique à l’écho international. Car ce n’est pas la vie de Mat Honan qui a été détruite, mais bien sa vie… numérique.

« La dure leçon des risques d’Internet »

D’ailleurs, la réalité des faits de ce « cauchemar » laisse pour le moins songeur. Selon le récit de Mat Honan, celui-ci voit son compte twitter hacké, ses comptes e-mail et Amazon perdus, et l’ensemble des données de son ordinateur personnel et de sa tablette effacées le 3 août. Une perte lourde, certes, mais individuelle, sans commune mesure avec les hacks massifs qui avaient conduit à la publication de milliers de mots de passe des utilisateurs des services de Sony, de Yahoo ou de LinkedIn ; ici, les données sont des données personnelles, sans aucun caractère sensible. Cela n’empêche certainement pas les médias de compatir bruyamment. Outre les titres relevés plus haut, l’AFP -en grande forme- titre sur « la dure leçon des risques d’Internet », avec une accroche qui mériterait d’être propulsée sancto subito au panthéon des platitudes médiatiques : « Les pièges d’une vie moderne de plus en plus dépendante de l’internet ont été révélés par un journaliste américain (…) ». Atlantico s’emporte  sur ce hacker dont « l’astuce machiavélique » lui a permis « d’accéder à un nombre illimité d’informations sur Honan » (oubliant de mentionner au passage que Mat Honan est le premier responsable de l’étendue des informations qu’il met en ligne). Outre-Quiévrain, RTL.be s’offusque, tout en retenue et en mesure, de voir ainsi « tomber dans l’oubli des photos irremplaçables de sa fille de quelques mois ». Sale temps sur la presse en ligne : dans leur quête d’audience, les médias font pleuvoir des hyperboles.

Il faut reconnaître que le piratage est plutôt inhabituel. Loin d’être une effraction informatique, il s’agit d’une attaque à base de « social engineering », c’est-à-dire de l’exploitation d’une faille humaine, contrairement à l’utilisation d’un défaut dans le système de sécurité informatique. Dans son article, Mat Honan décortique lui-même le procédé qu’ont utilisé les hackers :

  1. Le journaliste avait publié sur Twitter l’adresse de son site personnel, qui contient également son adresse Gmail.
  1. Première intervention des hackers : ceux-ci demandent une réinitialisation du mot de passe de l’adresse Gmail. Cette procédure les informe que Mat Honan possède également une adresse en me.com, correspondant aux services cloud d’Apple. Pour accéder à ce dernier, les hackers ont besoin des 4 derniers numéros de la carte de crédit de Honan.
  1. Munis de l’adresse physique de Mat Honan, obtenue par un simple Whois (voir ici) sur son site Internet, les hackers contactent Amazon. Ils supposent en effet que le journaliste a enregistré ses cartes bancaires sur le site du vendeur. Posséder seulement l’adresse de facturation ne suffit pas à accéder au compte Amazon, mais elle leur permet d’ajouter, par téléphone, un nouveau moyen de paiement, et donc une carte de crédit en leur possession.
  1. Les hackers peuvent donc, lors d’un second appel téléphonique à Amazon, avancer une adresse de facturation et un numéro de carte de crédit concordants. Ils peuvent obtenir le mot de passe du compte, et donc les 4 derniers chiffres de la véritable carte de crédit du journaliste que celui-ci avait effectivement enregistrée.
  1. Ces 4 derniers chiffres, le nom et l’adresse de Mat Honan leur permettent d’obtenir auprès d’Apple, toujours par téléphone, la réinitialisation du mot de passe de l’adresse en me.com. Cette adresse leur donne accès au service iCloud ; et ils ont la possibilité de supprimer à distance les données de l’ensemble des produits Apple du journaliste.
  1. Dès lors, ils ont également la possibilité de réinitialiser le mot de passe du compte gmail, qui leur ouvre les portes du compte Twitter. Le hack est complet : Mat Honan ne peut plus accéder à ses ordinateurs, à ses comptes Twitter et Amazon, ou à son adresse e-mail.

Pas de programme malveillant, pas d’inquiétants hiéroglyphes verts défilant sur un écran noir, aucune technique informatique particulière requise, le stéréotype médiatique du hacker en prend un sacré coup. Et c’est un vrai problème pour les rédactions : comment frapper l’imaginaire de ses lecteurs sans la satanique figure du hackeur éternel ?

Usual suspects

Puisque le crime a été décrit dans toute son horreur, il est temps de trouver les coupables. Faute de pouvoir dépeindre des êtres diaboliques ayant perpétré un crime horrible grâce à des compétences hors du commun et des techniques surnaturelles, les journalistes vont donc convoquer deux usual suspects de la mythologie médiatique : les méchantes corporations américaines -ici Apple et Amazon – et le nébuleux mais toujours menaçant « cloud computing ». Avec une myopie hallucinante, les journaux se font tour à tour procureurs « Quand Apple livre le compte iCloud d’un client à un pirate » (01.net), et juges « Un journaliste piraté : Apple mis en cause, Amazon coupable » (Numérama), quitte à faire des contresens complets : « La vie numérique d’un journaliste détruite à cause d’iCloud » (RTL.be). Ils se chargent de détecter des complicités « Quand Apple laisse un journaliste américain se faire pirater » (Le Nouvel Obs), et de fustiger les manquements supposés « Sécurité : Apple a donné trop facilement accès à un compte iCloud » (Mac Génération), ce qui est passer bien vite sur les faits décrits par le journaliste.

Car une lecture attentive du récit de Mat Honan aurait dû au moins les inciter à la mesure. La seule chose qui a permis ce hack, ce sont les négligences du journaliste. Première erreur de Mat Honan : permettre la destruction à distance de ses données. L’option n’est pas activée par défaut, et c’est bien lui, et lui seul, qui a décidé d’activer cette vulnérabilité. Une mauvaise décision, d’autant plus que le journaliste a ensuite lié son compte Apple à son adresse e-mail publique : si un compte en ligne permet d’accéder à l’ensemble des données et à les effacer, il est sage de ne pas le lier à d’autres services. Sa dernière erreur est d’avoir permis à Amazon d’enregistrer ses informations de carte de crédit. Un journaliste spécialiste des nouvelles technologies ne pouvait certainement pas ignorer les précédents, et notamment le cas de Sony, qui avait vu le piratage de l’ensemble de sa base de données de cartes de crédit enregistrées. Au final, comme souvent en informatique, la faille se situe entre la chaise et le clavier.

L’hallali journalistique à l’encontre Apple est donc pour le moins immérité. Mais celui contre le cloud computing est tout simplement surréaliste. Les médias vont en effet mettre en perspective cette mésaventure avec une incantation de Steve Wozniak, co-fondateur d’Apple, qui fustigeait le cloud computing à l’occasion d’une conversation privée rapportée par l’AFP le 6 août : « Le stockage de données “dans le nuage” me tracasse vraiment. Je pense que cela va créer d’énormes problèmes dans les cinq prochaines années.» Cette citation, abondamment commentée quelques jours plus tôt par le milieu high-tech, se retrouve de nouveau partout : dans Le Figaro, dans Le Nouvel Observateur ou encore sur le site de libération Ecrans.fr. Or, ici, aucune des données perdues n’était stockée chez un prestataire. Elles étaient bien au chaud sur les disques durs de Mat Honan, qui a choisi –faut-il le rappeler ?- de s’attribuer la possibilité de les supprimer à distance. Un choix qui a ensuite été exploité par les pirates.

Ironiquement, certaines des photos « irremplaçables » de la fille de Mat ont échappé à la destruction car elles étaient… dans le « Cloud ».

Sans défaillance d’une grande compagnie américaine à critiquer, ni évolution technologique à fustiger comme bouc-émissaire, cette actualité perdait toute sa substance. Elle n’en a pas moins été diffusée massivement et sans beaucoup de recul. L’information high-tech avait-elle vraiment besoin d’une section « fait-divers » ?

Publicités
Tagué , , ,

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :