Amazon n’hésite pas à révéler votre adresse postale à des étrangers

Le service après-vente par messagerie instantanée est très pratique. Pour les plus misanthropes d'entre nous, se connecter sur un site web et taper une question au clavier est beaucoup plus confortable que de passer un appel téléphonique ; il y a tout à espérer que c'est le futur du service client. Pas de petite musique d'attente énervante, pas de réponses inaudibles, juste un échange de phrases non ambiguës qui, avec un peu de chance, va à l'essentiel. Dans ce contexte, l'échange d'informations est facile. Peut-être un peu trop, comme l'a découvert le blogueur Eric Springer.

Dans un post Medium, Springer explique comment un imposteur particulièrement habile s'y est pris pour accéder à des informations sensibles sur son compte Amazon. En disposant seulement de son nom, de son adresse email, et d'une adresse postale parfaitement erronée à l'exclusion du code postal, un(des) pirate(s) a(ont) pu collecter ses informations personnelles à trois reprises lors d'un échange par messagerie instantanée avec un employé du service client.

Springer a découvert la manœuvre après avoir reçu un message automatique d'Amazon le remerciant d'avoir fait appel au SAV. Bien sûr, il n'avait aucun souvenir d'avoir interagi avec ledit service, et a demandé à Amazon de lui transférer les archives de la conversation. Après les avoir consultées, il a réalisé que quelqu'un avait usurpé son identité le plus facilement du monde.

« L'adresse qui a été fournie n'était même pas la bonne » explique-t-il dans un post. « C'était l'adresse d'un hôtel quelconque situé dans la même ville que moi. Je l'avais utilisée à plusieurs reprises pour acheter des noms de domaine, en sachant que les bases de données Whois sont fréquemment rendues publiques. J'ai donc emprunté une adresse au hasard sur ma commune, afin qu'elle ne paraisse pas improbable en regard de mon IP. »

Une fois que l'imposteur a réussi à convaincre le service client qu'il était bien Eric Springer, il a demandé le suivi colis d'une commande précédente. Son interlocuteur s'est exécuté, révélant au passage la véritable adresse de son client.

Cet événement s'est reproduit à deux reprises, à l'occasion desquelles l'imposteur a pu à chaque fois obtenir des informations sur Springer.

« Amazon a complètement bafoué ma confiance, » écrit-il. « J'ai fait tout ce qui était en mon pouvoir pour que mon compte soit parfaitement sécurisé, mais ça n'a servi à rien. Je vais désormais fermer ce compte et utiliser des services un peu plus précautionneux avec les informations personnes de leurs clients, et plus compétents dans la prévention d'attaques de ce genre. »

Pire : cette opération a pu être répétée à l'infini. Des utilisateurs de Reddit officiant sur r/technology ont, lors d'une expérience, réussi à récupérer leurs propres informations personnelles. Motherboard a tenté la même chose, avec succès.

Springer et Amazon n'ont pas souhaité répondre à nos questions.

Un vieil adage (à l'échelle de temps Internet) dit qu'en matière de piratage, les personnes sont de bien meilleures cibles que les systèmes informatiques. Ces événements ne sont que des exemples parmi d'autres de l'éventail des méthodes permettant de récupérer des informations personnelles quand on ne dispose pas de compétences particulières en informatique. On appelle cela de « l'ingénierie sociale. » Il suffit de savoir poser les bonnes questions à la bonne personne, au bon moment.

Ce n'est pas la première fois qu'Amazon montre sa vulnérabilité aux techniques d'ingénierie sociale. En 2012, le rédacteur Mat Honan en a fait les frais : suite à une attaque particulièrement ingénieuse, ses comptes Twitter, Apple et Amazon ont été piratés.

« Il y a une sorte de course à l'armement, » explique Cavusoglu, chercheur en sécurité informatique à l'Université de Colombie-Britannique. Selon lui, l'ingénierie sociale n'a rien de nouveau. « Les organisations travaillent actuellement à réformer leurs politiques et leurs procédures plutôt que leurs technologies ; les employés doivent être formés pour devenir plus méfiants. Mais le défi est de taille, car les techniques de piratage évoluent à la vitesse de la lumière. »

Les entreprises qui hébergent nos informations personnelles se retrouvent dans un affrontement perpétuel contre les pirates. Mais ce sont ces derniers qui mènent la danse, découvrant régulièrement de nouvelles vulnérabilités. « Les entreprises doivent se réinventer constamment face à la menace » explique Cavusoglu.

Springer a esquissé quelques recommandations de sécurité à l'intention d'Amazon et de ses clients. L'entreprise pourrait par exemple exiger que ses clients soient connectés à leur compte avant de leur transmettre la moindre information. Il faudrait aussi vérifier et suivre les adresses IP des clients en question, et s'assurer qu'ils n'utilisent pas une adresse email temporaire. Enfin, parce que ce genre d'incidents est de plus en plus fréquent, ces mesures devraient être adoptées par toutes les entreprises de commerce en ligne.