Le Hollandais Volant

Retour sur un cas de piratage de Webmail

Photo d’une clé avec un logo de pirates.
Très récemment, j’ai été appelé à la rescousse pour un cas de « piratage » d’une webmail Orange.

La personne avait été appelée par sa banquière qui voulait savoir si sa demande par e-mail d’un virement de plusieurs milliers d’euros était bien légitime (ça ne l’était pas). Finalement, de ce côté-là, aucun dommage. Mais ça s’est joué à la vigilance de la banquière en personne. Pour le coup, bravo (et merci).

Dans la webmail d’Orange, on pouvait voir l’historique des connexions en provenance de France (connexions légitimes) mais aussi du Mali et d’Inde (totalement anormal). Par ailleurs, les contacts de la personne dont le compte a été piraté ont pour certains reçus un e-mail chelou de la part du pirate se faisant passer pour elle (je l’ai reçu également).

Voilà pour ce qui s’est passé.

Ce que j’ai fait

Premièrement : faire changer les mots de passe.
La personne avait déjà commencé : c’est très bien.

Les Webmails autorisent (généralement) le transfert des e-mail vers d’autres comptes, de façon automatique. Il a donc été vérifié que le pirate n’avait pas mis en place de redirection vers une adresse à lui. Ça n’était pas le cas, mais un compte « lié » d’un autre compte Orange a été trouvé. Ne sachant pas ce que c’était, il a été supprimé.

Et pas seulement sur la webmail : mais partout. Tous les comptes en ligne. Le pirate a eu accès à ses e-mails, il a pu voir quels sites on utilise. Il aurait pu utiliser cette webmail pour faire un changement de mot de passe partout.

Facebook, Amazon, Google, Apple/iCloud, mais aussi le site de son assurance, les impôts, l’Urssaf, le site de la sécurité sociale ainsi que tous les sites plus ou moins habituels.

Ceci fait, le pirate perd son accès au compte e-mail. Bien.

Que faire de plus ?

Activer la 2FA partout où c’est possible. Avec la 2FA (authentification à deux facteurs), on reçoit un SMS avec un code à usage unique lorsqu’on cherche à se connecter. Si ça avait été activé sur la Webmail d’Orange, la personne aurait reçu un SMS avec un code, et le pirate ne l’ayant pas reçu n’aurait pas pu se connecter. En plus, cela aurait alerté la victime que quelqu’un aurait demandé un changement de mot de passe.

Malheureusement, et là je dis honte à Orange, la 2FA n’est pas possible sur la webmail d’Orange si l’on n’est pas également client mobile chez Orange ou Sosh, ce qui n’est pas le cas ici (la webmail vient avec l’abonnement fixe, pas mobile).

Pour info, la webmail Orange n’est pas seule : chez Free c’est pas mieux a priori, Bouygues non plus. Quant à SFR, ils facturent cette option.
Bref, du n’importe quoi chez nos FAI français.

Comment tout ça est arrivé ?

Deux causes :

  • l’usage du même mot de passe partout (avoué par la victime)
  • le piratage d’une base de donnée chez qui on avait un compte (avec l’e-mail de la webmail et le mot de passe identique).

Comment on l’a vu ?

L’adresse e-mail apparaît dans les bases de données piratées.
Des services en lignes permettent de vérifier ça, comme ceux-là :

Voilà.

Donc c’est un site tiers qui s’est fait pirater : la base de données des e-mails + mots de passe s’est retrouvée dans la nature et un pirate a récupéré ça.
Ensuite, il a essayé une des adresses (celle de la victime) et a utilisé le mot de passe du site piraté, en espérant que la victime utilise la même partout : c’était le cas, bingo.

Ensuite, le pirate entre sur la webmail, fouille tous les mails à la recherche d’informations, comme les correspondances avec sa banque, des numéros de comptes, des noms de famille… Puis à utiliser la webmail pour écrire à la banque de faire un virement. Encore une fois : ici la banquière a eu la présence d’esprit de demander confirmation par téléphone à la victime. C’est ce qui a sauvé les meubles.

Comment faire pour ne pas que ces choses arrivent ?

Choses très simple à mettre en place :

  • ne pas utiliser le même mot de passe partout
  • changer de mots de passe régulièrement, ou en cas de doute sur une intrusion.
  • utiliser la 2FA (authentification à deux facteurs) partout où c’est possible.

Il faut mieux un SMS avec un code chiant à entrer à chaque connexion qu’un piratage.

Et dans le cas de la banque :

  • toujours faire ses demandes via la « messagerie sécurisée » de votre banque, ou par téléphone, ou au guichet pour les gros montants.

D’ailleurs, tout comme votre banque vous dit régulièrement qu’ils ne font rien passer par e-mail, mais toujours par courrier, vous pouvez très bien leur dire aussi que vous ne passerez jamais par e-mail et viendrez toujours passer par le guichet (pour ceux qui font ça).
Les banques ajoutent alors cette information à votre dossier et ils sauront qu’un virement inopiné sera forcément frauduleux (et soit l’annuleront, soit vous appelleront).

Ceci est aussi utile quand vous avez un gros virement à faire : prévenez votre banque, ça évitera qu’ils fassent obstacle en pensant à un virement frauduleux (je l’ai fait quand j’ai acheté une voiture, par exemple).

Choses plus avancées à mettre en place :

  • utiliser une adresse mail personnelle (pour parler avec les gens)
  • et utiliser une adresse mail pour les inscriptions sur les sites (comme ça le piratage de la seconde n’expose que vous, pas vos correspondants, ce qui empêche au pirate d’avoir l’e-mail de la banque)

Choses à considérer dans l’idéal

  • utiliser une webmail sécurisée (proposant la 2FA)
  • ne pas utiliser celle de votre FAI (en général, car le jour où vous changez d’opérateur, vous perdez tout…).

Toutes considérations de vie privée et de l’hégémonie des GAFAM mis à part : préférez une GMail qu’une webmail de votre FAI. Idéalement, achetez-vous un nom de domaine chez un régistrar (comme Gandi ou OVH) : ils viennent avec une webmail suffisamment large pour n’importe quel usage perso. En plus d’avoir une adresse e-mail bien à vous, ça permet de ne plus dépendre de votre opérateur téléphonique, qui peut changer si vous changez de prestataire.
Et un nom de domaine peut se transférer d’un régistrar à un autre : il est à vous, donc si vous l’achetez chez l’un mais que vous voulez changer, transférez-le chez un autre régistrar. Ceci n’est pas possible avec une adresse chez Orange, SFR, Free…

Changez de temps en temps d’adresse e-mail pour les sites web. Rappelez-vous : si vous utilisez une adresse pour la correspondance et une pour les inscriptions, c’est celle pour les inscriptions sur les sites qu’il faut changer de temps en temps.

Des choses au niveau des sites web

Ici, vous n’y pouvez rien : vous n’êtes pas responsables si un site web se fait pirater. Du coup, ceci s’adresse aux éditeurs de services web : ne stockez pas les mots de passe en clair, bordel ! Un jour vous vous ferez pirater, et si vous les stockez en clair, tous vos clients seront victimes de ce genre de brèche, par votre faute.

Et n’utilisez pas un hashage MD5. Ce n’est plus sûr non plus.
Utilisez au moins du SHA256, voire SHA512, et avec un salt. Il existe des fonctions intégrées aux langages de programmation (comme PHP) pour utiliser tout ça d’un coup. N’utilisez pas des fonctions « maison » qui vous semblent meilleurs que ceux codés par les experts qui font les langages. Ça ne l’est probablement pas.

Pour terminer

Pour finir : la victime de cette mésaventure s’est promise qu’on ne l’y reprendra plus à utiliser le même mot de passe partout. Tant mieux.

Il faut maintenant aussi penser à surveiller l’activité du compte (une connexion depuis le Mali n’est pas normale dans notre cas), et, en cas de doute, changer immédiatement de mot de passe. Idéalement, il faudrait changer de mot de passe régulièrement, mais attention à ne pas tomber dans la simplicité et changer pour des mots de passes plus simples pour compenser les changements fréquents.

Le « régulièrement » va dépendre : rous les ans, tous les 6 mois, tous les mois… il en va du niveau de paranoïa de chacun et de l’importance du compte en question.
Perso, je pense que changer son mot de passe une fois tous les ans est un minimum, au moins pour ses comptes critiques (banque, etc.).

Donc vous savez ce qui vous reste à faire : allez vérifier vos comptes en ligne (Gmail, Facebook…) et vérifiez l’historique de connexion, et changez vos mots de passe en cas de doute ou d’activité suspecte.

Attention : si vous changez votre mot de passe e-mail sur votre ordinateur, vous devrez le mettre à jour sur votre téléphone également, et partout où vous êtes connectés.

image d’en-teête de Jacob Rosen