Les comptes Kindle piratés appartiennent... à des bots, ou sont faux

Clément Solym - 13.07.2016

Lecture numérique - Usages - comptes Kindle hacking - piratage données personnelles - hacer internet Kindle


Le hacker demandait une somme dérisoire à Amazon – 700 $ – pour une faille de sécurité qu’il affirmait avoir découverte. La firme ayant fait la sourde oreille, DK~$ Taylor a décidé de tout balancer sauvagement sur la toile. En tout, près de 84.000 comptes Kindle exposés avec les données personnelles qui les accompagnaient. Sauf que... 

 

Kindle 2.5日本語化 (2)

Kuruman, CC BY 2.0

 

 

« C’est une grande entreprise, et ils devraient avoir assez d’argent pour disposer de mesures de sécurité appropriées. Je voulais leur en faire la preuve en privé, mais ils ignoraient mes avertissements », assurait le hacker. Or, compte tenu des données dévoilées, des responsables du cabinet de cybersécurité Synack estimaient que le hacking était clair. Des utilisateurs par milliers voyaient leurs informations divulguées sans vergogne.

 

Mais certains se sont plongés dans les fameuses données dévoilées, et les conclusions font relativiser les choses. 

 

Après avoir pris des noms et des adresses physiques au hasard, on découvre que les lieux associés aux comptes sont parfois saugrenus : en plein milieu des bois, ou à mi-chemin entre deux routes de campagnes et deux maisons. Hmm...

 

Ensuite, plusieurs tentatives d’appels téléphoniques n’ont abouti qu’à des numéros obsolètes, ou une ligne occupée en permanence. 

 

Enfin, il restait la question des adresses emails, toujours découlant de prestataire comme Hotmail, Gmail ou Yahoo. Pas vraiment suffisant pour découvrir grand-chose, surtout quand les noms associés sont John Doe. En effet, cette dénomination sert aux États-Unis pour un anonyme – une plainte contre John Doe équivaut à une plainte contre X en France.

 

Évidemment, toutes les adresses n’ont pas été testées, sur les 83.899 divulguées. 

 

De son côté, Amazon a réagi : « Nous avons obtenu confirmation que ces données ne proviennent pas des serveurs d’Amazon et que les comptes en question ne sont pas ceux de clients légitimes d’Amazon. » Autrement dit, circulez, il n’y aurait rien du tout à voir. Les 80.000 comptes compromis ne seraient donc que des faux comptes Kindle ? 

 

Cela ne devrait pas empêcher de garder à l’esprit que les mots de passe doivent être régulièrement modifiés, et surtout, de ne pas avoir le même MdP pour l’ensemble de ses appareils. C’est contraignant et pénible, certes, mais plus sécurisé.  

 

Brian Walace, chercheur en sécurité pour la société Cylance, assure par ailleurs que l’ensemble des données dévoilées ne sont en réalité que des éléments créés par des bots. Et certainement pas des comptes de personnes réelles. Lui et d’autres experts ont passé en revue les 597,4 Mo de données pour l’affirmer. « Les datas ont bien été générées, mais impossible de savoir si ce sont de fausses données ou des comptes de robots », garantit Wallace.

 

Aucun cambriolage chez Amazon, donc ? Affaire à suivre, attendu que le hacker, pour le moment, ne s’est pas manifesté. 

 

via Digital Reader, ZDNet