Adresse mail : La clé des pirates informatiques pour voler votre vie en ligne

14 Sep 2012

Pirater l’adresse mail personnelle de quelqu’un est la meilleure façon de contrôler sa présence en ligne, et de nouvelles recherches montrent qu’il est effroyablement facile de le faire.

Une récente étude dirigée par Lucas Lundgren, employé chez IOActive, une compagnie spécialisée en sécurité informatique, montre que tout ce dont quelqu’un a besoin pour s’introduire dans la boite mail d’une personne, est d’avoir une bonne compréhension de comment les sites internet gèrent les demandes de réinitialisation des mots de passe des utilisateurs et la patience de creuser dans la vie en ligne de la personne pour trouver des éléments d’information. N’importe quelle personne qui reçoit ses relevés de comptes bancaires en ligne ou a des documents professionnels dans sa messagerie personnelle (sans mentionner toutes autres informations à caractère personnel) sait à quel point cette perspective est terrifiante.

Dans l’intention de pirater le compte Gmail de son ami (avec sa permission) pour son étude, Lundgren a commencé par essayer de réinitialiser le mot de passe du compte. Il a alors découvert que son ami avait une autre messagerie sur Hotmail, bien qu’il n’en s’avait pas encore l’adresse exacte. Lundgren a alors passé en revue le profil Facebook de son ami et a créé un compte fictif pour une personne qu’il imaginait être un bon ami de sa cible. A partir de son compte Facebook fictif, il lui a demandé de devenir son ami et quand sa cible a accepté sa demande, il a obtenu l’adresse Hotmail.

Afin de réinitialiser le mot de passe du compte Hotmail. Lundgren  a utilisé le profil Facebook de sa cible pour répondre à la question de sécurité (le nom de jeune fille de sa mère) ce qui l’a rapproché un peu plus de son but ultime : pirater le compte Gmail de son ami.  Il a ensuite demandé à réinitialiser le mot de passe de son compte Gmail, et Gmail lui a envoyé le courriel nécessaire à la messagerie Hotmail que Lundgren venait juste de pirater.  Et c’est ainsi que Lundgren a compromis le compte Gmail de son ami.

Dans le seul but de s’amuser, Lundgren a ensuite utilisé des méthodes similaires pour pirater le compte Facebook de son ami. Lundgren contrôlait alors la vie virtuelle de sa cible, et avait accès à une variété de pouvoirs d’achat (iTunes, une boutique en ligne d’électronique) grâce aux informations trouvées sur le compte Gmail.

Gmail offre une option sécurisée d’identification en deux étapes qui permet aux utilisateurs d’utiliser une application mobile pour recevoir un code de sécurité utilisable une seule fois et qui doit être rentré en plus de leur mot de passe habituel. Il s’agit cependant seulement d’une option, et de nombreux sites ne présentent pas ce système.

Parce qu’il est effroyablement facile de trouver les informations nécessaires pour pirater l’identité virtuelle de quelqu’un, Lundgren suggère que les gens restreignent les informations qu’ils partagent en ligne, et plus particulièrement sur Facebook. Et comme protection supplémentaire, il conseille aux gens de ne pas garder leurs données sensibles dans leur boite mail : selon lui, les utilisateurs devraient imprimer leurs relevés bancaires, leurs factures de cartes de crédits, etc., et garder ces documents en copies imprimées, avant de les supprimer en ligne.

Car il est maintenant clair qu’on ne peut jamais être trop prudent.