Comment pirater une boîte mail avec Facebook

Un mot de passe inviolable protège vos courriels ? Possible. Mais à quoi bon si n’importe qui peut le changer ? Nous avons ainsi testé la sécurité de cent comptes pris au hasard. Résultat : pas fameux, surtout avec Hotmail.

Journaliste américain spécialisé en nouvelles technologies, Mat Honan est un utilisateur averti du Web. Pourtant, début août, ce chroniqueur du site Wired s’est vu pirater son compte Gmail, le service de messagerie de Google. Deux hackers qui cherchaient à s’amuser ont réussi à modifier son mot de passe et à s’emparer de son adresse électronique. A partir de là, ils ont pu prendre le contrôle de son Apple ID. Ce qui leur a permis d’effacer à distance le contenu de son iPhone, de son iPad et de son MacBook, qui contenait toutes les photos de sa petite fille d’un an et demi… Ils ont également usurpé son compte Twitter, publié des insanités en son nom, et supprimé son compte Gmail. En l’espace d’une heure, Mat Honan a vu toute sa vie numérique s’évaporer. Pour le même prix, les deux mauvais plaisants auraient pu accéder à ses comptes bancaires en ligne et à son volumineux carnet de contacts.

Pareille mésaventure pourrait-elle arriver à d’autres ? La réponse est oui, dans de nombreux cas. Afin d’entrer dans la première boîte mail, les pirates ont utilisé une technique aussi simple qu’ingénieuse (lire l’encadré). Mais chez la majorité des usagers, des méthodes beaucoup plus basiques aboutiraient au même résultat. A commencer par la question secrète. Vous possédez une adresse yahoo.fr, hotmail.com ou un compte Gmail ancien ? Beaucoup de chances qu’au moment de vous inscrire vous ayez répondu à une ou plusieurs questions censées vous permettre, si vous oubliez ce mot de passe, de le réinitialiser.

Le hic : alors que chacun reconnaît aujourd’hui la nécessité d’un mot de passe solide, peu se soucient de cette fameuse question. A l’image d’un château fort protégé d’un côté par une muraille, un pont-levis et une herse, et de l’autre ouvert aux quatre vents. C’est ainsi qu’en 2009 un pirate était parvenu à s’emparer de la boîte mail professionnelle d’un employé de Twitter et à mettre en ligne plus de 300 documents internes au réseau social. Un an plus tôt, un autre s’était fait les dents sur le compte Yahoo ! de Sarah Palin, gouverneure de l’Alaska et alors candidate républicaine à la vice-présidence. Une simple recherche Google permettait de répondre à sa question secrète (l’endroit où elle avait rencontré son conjoint)…

« Quel est le nom de papa ? »

Courant ? Afin d’en avoir le coeur net, nous avons testé la sécurité de cent boîtes mail Yahoo !, Hotmail et Gmail (une trentaine de chacune), sélectionnées au hasard dans une base de données contenant quelque 3 000 adresses professionnelles. Les résultats sont édifiants. Parmi les possesseurs de boîtes Hotmail, 75 % utilisaient une question secrète. Et dans huit cas sur dix, la réponse se trouvait soit écrite noir sur blanc dans leur profil Facebook, soit elle pouvait être découverte avec un brin de ruse. Exemple : « Anniversaire [jj/mm/aa] » (une bourgmestre). Mais aussi « deuxième prénom de mon premier enfant ? » ou encore « nom de mon premier animal de compagnie »… Dans le cas des boîtes de Microsoft, répondre à une seule question permettrait de modifier le mot de passe. Nous n’avons bien sûr pas été jusque-là, ce qui constituerait un délit.

Les choses se corsent avec Yahoo!. Le pourcentage de comptes protégés par une question secrète se rapprochait de celui de Hotmail (70 %), mais ces boîtes utilisent deux questions plutôt qu’une. Dans la majorité des cas, la réponse à la première pouvait être retrouvée aussi facilement que dans le test précédent (genre : « Quel était mon premier numéro de téléphone ? »). Nous n’avons pas essayé d’encoder de réponse, ce qui nous interdisait d’accéder à la suite. Mais rien ne laisse présager que les secondes questions auraient été plus ardues. A noter que, dans une dizaine de cas, Yahoo ! interdisait l’accès aux questions secrètes pendant 24 heures, avec comme avertissement : « Nous pensons que votre compte a été piraté. Contactez notre service technique. » La protection semble déjà un cran supérieure.

Les possesseurs d’adresses Gmail, enfin, n’utilisaient une question secrète que dans un cas sur cinq (le niveau de difficulté moyen, lui, restait similaire). Il faut dire que Google ne propose plus aux nouveaux inscrits cette méthode jugée peu sûre ; il privilégie l’envoi d’un SMS contenant un code permettant de modifier son mot de passe. Ou alors d’un courriel contenant ce code sur la seconde adresse mail mentionnée par l’utilisateur.

Attention aux adresses couplées

C’est là que le bât blesse : Google donne des indices pour se remémorer quelle boîte de récupération nous utilisons. Si Jeandupont@gmail.com oublie son mot de passe, il pourra ainsi le modifier grâce à autre adresse que Google lui rappellera de cette manière : j………t@hotmail.com. On comprend aussitôt que la seconde adresse doit ressembler à quelque chose comme jeandupont@hotmail.com. Il ne reste qu’à essayer de cracker celle-là d’abord, le résultat revenant au même si les deux sont couplées. Note : la technique est inexécutable si l’utilisateur a adopté la « validation en deux étapes » de Gmail, plus lourde mais plus sûre.

Mat Honan ne l’avait pas fait. Aux dernières nouvelles, Apple serait parvenu à récupérer le contenu de son Mac, dont les photos de sa fillette, contre la modique somme de 1 370 euros.

ETTORE RIZZA