La mésaventure survenue à Naoki Hiroshima, l’ex-utilisateur du compte Twitter N (oui, une seule lettre) rappelle combien les internautes sont à la merci d’une attaque par ingénierie sociale.

Pas directement, en réalité, mais plutôt par l’intermédiaire d’une attaque menée contre le support technique des services en ligne auxquels ils sont abonnés (Twitter, Paypal, Amazon, Apple, Google…)

Ainsi en contactant le support technique de Go Daddy (hébergeur et registrar de ses noms de domaines), un pirate est parvenu à prendre le contrôle des emails de Naoki Hiroshima, et donc indirectement de la totalité des autres comptes en ligne pour lesquels ce dernier avait défini une adresse de contact liée un nom de domaine personnel.

Il lui a suffit pour cela de contacter au préalable Paypal et d’obtenir par une ruse les quatre derniers chiffres de la carte de paiement enregistrée sur le compte. Ces quatre chiffres lui ont ensuite permis de contacter Go Daddy, dont la légèreté de l’opérateur du support technique a fait le reste. Ce dernier avait en effet besoin pour valider l’identité du propriétaire du compte des six derniers chiffres de la carte. Et il a laissé le pirate deviner les deux manquants…

Cette affaire rappelle celle survenue en 2012 a Matt Honan, un journaliste de Wired dont la totalité de la vie numérique avait été détruite à la suite d’une attaque de ce type. Il s’était par la suite intéressé au sujet et avait rencontré un pirate adepte de ce genre de techniques. De même, Josh Bryant, le CEO de droplr a lui aussi vécu une aventure similaire, qu’il a relaté ici. Dans tous les cas, c’est l’usage des 4 ou 6 derniers chiffres de la carte bancaire comme moyen d’authentification du propriétaire du compte qui est en cause.

Les mésaventures de Naoki Hiroshima, Matt Honan et Josh Bryant sont sidérantes. Mais le plus déprimant est de constater que de telles attaques fonctionnent toujours après de nombreuses affaires de la sorte.

Comme le fait remarquer un commentateur sur le fil Twitter de Naoki Hiroshima : « Some of the biggest companies in the world have security that’s only as good as a minimum wage phone support worker » .