Comment pirater une boîte mail avec Facebook

27/08/12 à 10:00 - Mise à jour à 10:00

Source: Le Vif

Un mot de passe inviolable protège vos courriels ? Possible. Mais à quoi bon si n'importe qui peut le changer ? Nous avons ainsi testé la sécurité de cent comptes pris au hasard. Résultat : pas fameux, surtout avec Hotmail.

Comment pirater une boîte mail avec Facebook

© ThinkStock

Journaliste américain spécialisé en nouvelles technologies, Mat Honan est un utilisateur averti du Web. Pourtant, début août, ce chroniqueur du site Wired s'est vu pirater son compte Gmail, le service de messagerie de Google. Deux hackers qui cherchaient à s'amuser ont réussi à modifier son mot de passe et à s'emparer de son adresse électronique. A partir de là, ils ont pu prendre le contrôle de son Apple ID. Ce qui leur a permis d'effacer à distance le contenu de son iPhone, de son iPad et de son MacBook, qui contenait toutes les photos de sa petite fille d'un an et demi... Ils ont également usurpé son compte Twitter, publié des insanités en son nom, et supprimé son compte Gmail. En l'espace d'une heure, Mat Honan a vu toute sa vie numérique s'évaporer. Pour le même prix, les deux mauvais plaisants auraient pu accéder à ses comptes bancaires en ligne et à son volumineux carnet de contacts.

Pareille mésaventure pourrait-elle arriver à d'autres ? La réponse est oui, dans de nombreux cas. Afin d'entrer dans la première boîte mail, les pirates ont utilisé une technique aussi simple qu'ingénieuse (lire l'encadré). Mais chez la majorité des usagers, des méthodes beaucoup plus basiques aboutiraient au même résultat. A commencer par la question secrète. Vous possédez une adresse yahoo.fr, hotmail.com ou un compte Gmail ancien ? Beaucoup de chances qu'au moment de vous inscrire vous ayez répondu à une ou plusieurs questions censées vous permettre, si vous oubliez ce mot de passe, de le réinitialiser.

Le hic : alors que chacun reconnaît aujourd'hui la nécessité d'un mot de passe solide, peu se soucient de cette fameuse question. A l'image d'un château fort protégé d'un côté par une muraille, un pont-levis et une herse, et de l'autre ouvert aux quatre vents. C'est ainsi qu'en 2009 un pirate était parvenu à s'emparer de la boîte mail professionnelle d'un employé de Twitter et à mettre en ligne plus de 300 documents internes au réseau social. Un an plus tôt, un autre s'était fait les dents sur le compte Yahoo ! de Sarah Palin, gouverneure de l'Alaska et alors candidate républicaine à la vice-présidence. Une simple recherche Google permettait de répondre à sa question secrète (l'endroit où elle avait rencontré son conjoint)...

"Quel est le nom de papa ?"

Courant ? Afin d'en avoir le coeur net, nous avons testé la sécurité de cent boîtes mail Yahoo !, Hotmail et Gmail (une trentaine de chacune), sélectionnées au hasard dans une base de données contenant quelque 3 000 adresses professionnelles. Les résultats sont édifiants. Parmi les possesseurs de boîtes Hotmail, 75 % utilisaient une question secrète. Et dans huit cas sur dix, la réponse se trouvait soit écrite noir sur blanc dans leur profil Facebook, soit elle pouvait être découverte avec un brin de ruse. Exemple : "Anniversaire [jj/mm/aa]" (une bourgmestre). Mais aussi "deuxième prénom de mon premier enfant ?" ou encore "nom de mon premier animal de compagnie"... Dans le cas des boîtes de Microsoft, répondre à une seule question permettrait de modifier le mot de passe. Nous n'avons bien sûr pas été jusque-là, ce qui constituerait un délit.

Les choses se corsent avec Yahoo!. Le pourcentage de comptes protégés par une question secrète se rapprochait de celui de Hotmail (70 %), mais ces boîtes utilisent deux questions plutôt qu'une. Dans la majorité des cas, la réponse à la première pouvait être retrouvée aussi facilement que dans le test précédent (genre : "Quel était mon premier numéro de téléphone ?"). Nous n'avons pas essayé d'encoder de réponse, ce qui nous interdisait d'accéder à la suite. Mais rien ne laisse présager que les secondes questions auraient été plus ardues. A noter que, dans une dizaine de cas, Yahoo ! interdisait l'accès aux questions secrètes pendant 24 heures, avec comme avertissement : "Nous pensons que votre compte a été piraté. Contactez notre service technique." La protection semble déjà un cran supérieure.

Les possesseurs d'adresses Gmail, enfin, n'utilisaient une question secrète que dans un cas sur cinq (le niveau de difficulté moyen, lui, restait similaire). Il faut dire que Google ne propose plus aux nouveaux inscrits cette méthode jugée peu sûre ; il privilégie l'envoi d'un SMS contenant un code permettant de modifier son mot de passe. Ou alors d'un courriel contenant ce code sur la seconde adresse mail mentionnée par l'utilisateur.

Attention aux adresses couplées

C'est là que le bât blesse : Google donne des indices pour se remémorer quelle boîte de récupération nous utilisons. Si Jeandupont@gmail.com oublie son mot de passe, il pourra ainsi le modifier grâce à autre adresse que Google lui rappellera de cette manière : j.........t@hotmail.com. On comprend aussitôt que la seconde adresse doit ressembler à quelque chose comme jeandupont@hotmail.com. Il ne reste qu'à essayer de cracker celle-là d'abord, le résultat revenant au même si les deux sont couplées. Note : la technique est inexécutable si l'utilisateur a adopté la "validation en deux étapes" de Gmail, plus lourde mais plus sûre.

Mat Honan ne l'avait pas fait. Aux dernières nouvelles, Apple serait parvenu à récupérer le contenu de son Mac, dont les photos de sa fillette, contre la modique somme de 1 370 euros.

ETTORE RIZZA

CINQ ERREURS À ÉVITER

Comment des hackers sont-ils parvenus à changer le mot de passe d'un compte Gmail sans question secrète ? En passant par la boîte mail de récupération du journaliste, en l'occurrence une messagerie me.com d'Apple. C'est ce que l'un des deux pirates a avoué lors d'un chat Internet avec sa victime. Et comment se sont-ils emparés de cette dernière boîte ? Avec un simple coup de fil. Chez Apple, n'importe qui peut réinitialiser son mot de passe par téléphone en fournissant une adresse mail, une adresse de facturation et les quatre derniers numéros de sa carte de crédit. Les pirates avaient l'adresse mail. La seconde information peut se trouver facilement dans un annuaire ou sur www.who.is, si la personne a enregistré un site Web. Obtenir la troisième nécessitait un peu d'astuce : ils ont auparavant appelé le service client d'Amazon... qui leur a rapidement fourni dans un mail les quatre numéros en question !

"Bref, ces quatre chiffres qu'Amazon considère comme sans importance sont utilisés chez Apple pour vérifier les identités" , note Honan dans un long article sur le site Wired.com. A la suite de cette affaire, Apple a suspendu sa méthode de vérification par téléphone. Le journaliste, lui, a tiré les leçons de sa mésaventure :

1. Toujours sauvegarder ses données essentielles.

2. Ne jamais coupler deux adresses électroniques importantes.

3. Eviter d'employer l'effacement à distance d'Apple pour un ordinateur.

4. Utiliser la vérification en deux étapes de Gmail. Ajoutons-en une cinquième : ne jamais définir une question secrète dont d'autres personnes connaissent la réponse.

E.R.

En savoir plus sur:

Nos partenaires