Photo d’une clé avec un logo de pirates.

Photo d’une clé avec un logo de pirates.
Très récemment, j’ai été appelé à la rescousse pour un cas de « piratage » d’une webmail Orange.

La personne avait été appelée par sa banquière qui voulait savoir si sa demande par e-mail d’un virement de plusieurs milliers d’euros était bien légitime (ça ne l’était pas). Finalement, de ce côté-là, aucun dommage. Mais ça s’est joué à la vigilance de la banquière en personne. Pour le coup, bravo (et merci).

Dans la webmail d’Orange, on pouvait voir l’historique des connexions en provenance de France (connexions légitimes) mais aussi du Mali et d’Inde (totalement anormal). Par ailleurs, les contacts de la personne dont le compte a été piraté ont pour certains reçus un e-mail chelou de la part du pirate se faisant passer pour elle (je l’ai reçu également).

Voilà pour ce qui s’est passé.

Ce que j’ai fait

Premièrement : faire changer les mots de passe.
La personne avait déjà commencé : c’est très bien.

Les Webmails autorisent (généralement) le transfert des e-mail vers d’autres comptes, de façon automatique. Il a donc été vérifié que le pirate n’avait pas mis en place de redirection vers une adresse à lui. Ça n’était pas le cas, mais un compte « lié » d’un autre compte Orange a été trouvé. Ne sachant pas ce que c’était, il a été supprimé.

Et pas seulement sur la webmail : mais partout. Tous les comptes en ligne. Le pirate a eu accès à ses e-mails, il a pu voir quels sites on utilise. Il aurait pu utiliser cette webmail pour faire un changement de mot de passe partout.

Facebook, Amazon, Google, Apple/iCloud, mais aussi le site de son assurance, les impôts, l’Urssaf, le site de la sécurité sociale ainsi que tous les sites plus ou moins habituels.

Ceci fait, le pirate perd son accès au compte e-mail. Bien.

Que faire de plus ?

Activer la 2FA partout où c’est possible. Avec la 2FA (authentification à deux facteurs), on reçoit un SMS avec un code à usage unique lorsqu’on cherche à se connecter. Si ça avait été activé sur la Webmail d’Orange, la personne aurait reçu un SMS avec un code, et le pirate ne l’ayant pas reçu n’aurait pas pu se connecter. En plus, cela aurait alerté la victime que quelqu’un aurait demandé un changement de mot de passe.

Malheureusement, et là je dis honte à Orange, la 2FA n’est pas possible sur la webmail d’Orange si l’on n’est pas également client mobile chez Orange ou Sosh, ce qui n’est pas le cas ici (la webmail vient avec l’abonnement fixe, pas mobile).

Pour info, la webmail Orange n’est pas seule : chez Free c’est pas mieux a priori, Bouygues non plus. Quant à SFR, ils facturent cette option.
Bref, du n’importe quoi chez nos FAI français.

Comment tout ça est arrivé ?

Deux causes :

  • l’usage du même mot de passe partout (avoué par la victime)
  • le piratage d’une base de donnée chez qui on avait un compte (avec l’e-mail de la webmail et le mot de passe identique).

Comment on l’a vu ?

L’adresse e-mail apparaît dans les bases de données piratées.
Des services en lignes permettent de vérifier ça, comme ceux-là :

Voilà.

Donc c’est un site tiers qui s’est fait pirater : la base de données des e-mails + mots de passe s’est retrouvée dans la nature et un pirate a récupéré ça.
Ensuite, il a essayé une des adresses (celle de la victime) et a utilisé le mot de passe du site piraté, en espérant que la victime utilise la même partout : c’était le cas, bingo.

Ensuite, le pirate entre sur la webmail, fouille tous les mails à la recherche d’informations, comme les correspondances avec sa banque, des numéros de comptes, des noms de famille… Puis à utiliser la webmail pour écrire à la banque de faire un virement. Encore une fois : ici la banquière a eu la présence d’esprit de demander confirmation par téléphone à la victime. C’est ce qui a sauvé les meubles.

Comment faire pour ne pas que ces choses arrivent ?

Choses très simple à mettre en place :

  • ne pas utiliser le même mot de passe partout
  • changer de mots de passe régulièrement, ou en cas de doute sur une intrusion.
  • utiliser la 2FA (authentification à deux facteurs) partout où c’est possible.

Il faut mieux un SMS avec un code chiant à entrer à chaque connexion qu’un piratage.

Et dans le cas de la banque :

  • toujours faire ses demandes via la « messagerie sécurisée » de votre banque, ou par téléphone, ou au guichet pour les gros montants.

D’ailleurs, tout comme votre banque vous dit régulièrement qu’ils ne font rien passer par e-mail, mais toujours par courrier, vous pouvez très bien leur dire aussi que vous ne passerez jamais par e-mail et viendrez toujours passer par le guichet (pour ceux qui font ça).
Les banques ajoutent alors cette information à votre dossier et ils sauront qu’un virement inopiné sera forcément frauduleux (et soit l’annuleront, soit vous appelleront).

Ceci est aussi utile quand vous avez un gros virement à faire : prévenez votre banque, ça évitera qu’ils fassent obstacle en pensant à un virement frauduleux (je l’ai fait quand j’ai acheté une voiture, par exemple).

Choses plus avancées à mettre en place :

  • utiliser une adresse mail personnelle (pour parler avec les gens)
  • et utiliser une adresse mail pour les inscriptions sur les sites (comme ça le piratage de la seconde n’expose que vous, pas vos correspondants, ce qui empêche au pirate d’avoir l’e-mail de la banque)

Choses à considérer dans l’idéal

  • utiliser une webmail sécurisée (proposant la 2FA)
  • ne pas utiliser celle de votre FAI (en général, car le jour où vous changez d’opérateur, vous perdez tout…).

Toutes considérations de vie privée et de l’hégémonie des GAFAM mis à part : préférez une GMail qu’une webmail de votre FAI. Idéalement, achetez-vous un nom de domaine chez un régistrar (comme Gandi ou OVH) : ils viennent avec une webmail suffisamment large pour n’importe quel usage perso. En plus d’avoir une adresse e-mail bien à vous, ça permet de ne plus dépendre de votre opérateur téléphonique, qui peut changer si vous changez de prestataire.
Et un nom de domaine peut se transférer d’un régistrar à un autre : il est à vous, donc si vous l’achetez chez l’un mais que vous voulez changer, transférez-le chez un autre régistrar. Ceci n’est pas possible avec une adresse chez Orange, SFR, Free…

Changez de temps en temps d’adresse e-mail pour les sites web. Rappelez-vous : si vous utilisez une adresse pour la correspondance et une pour les inscriptions, c’est celle pour les inscriptions sur les sites qu’il faut changer de temps en temps.

Des choses au niveau des sites web

Ici, vous n’y pouvez rien : vous n’êtes pas responsables si un site web se fait pirater. Du coup, ceci s’adresse aux éditeurs de services web : ne stockez pas les mots de passe en clair, bordel ! Un jour vous vous ferez pirater, et si vous les stockez en clair, tous vos clients seront victimes de ce genre de brèche, par votre faute.

Et n’utilisez pas un hashage MD5. Ce n’est plus sûr non plus.
Utilisez au moins du SHA256, voire SHA512, et avec un salt. Il existe des fonctions intégrées aux langages de programmation (comme PHP) pour utiliser tout ça d’un coup. N’utilisez pas des fonctions « maison » qui vous semblent meilleurs que ceux codés par les experts qui font les langages. Ça ne l’est probablement pas.

Pour terminer

Pour finir : la victime de cette mésaventure s’est promise qu’on ne l’y reprendra plus à utiliser le même mot de passe partout. Tant mieux.

Il faut maintenant aussi penser à surveiller l’activité du compte (une connexion depuis le Mali n’est pas normale dans notre cas), et, en cas de doute, changer immédiatement de mot de passe. Idéalement, il faudrait changer de mot de passe régulièrement, mais attention à ne pas tomber dans la simplicité et changer pour des mots de passes plus simples pour compenser les changements fréquents.

Le « régulièrement » va dépendre : rous les ans, tous les 6 mois, tous les mois… il en va du niveau de paranoïa de chacun et de l’importance du compte en question.
Perso, je pense que changer son mot de passe une fois tous les ans est un minimum, au moins pour ses comptes critiques (banque, etc.).

Donc vous savez ce qui vous reste à faire : allez vérifier vos comptes en ligne (Gmail, Facebook…) et vérifiez l’historique de connexion, et changez vos mots de passe en cas de doute ou d’activité suspecte.

Attention : si vous changez votre mot de passe e-mail sur votre ordinateur, vous devrez le mettre à jour sur votre téléphone également, et partout où vous êtes connectés.

image d’en-teête de Jacob Rosen

16 commentaires

gravatar
seb a dit :

Juste un avis. est ce qu'avec le 2FA, on peut se limiter dans la complexité du mot de passe ?

gravatar
Galex a dit :

en parlant de fonction intégrée aux langages pour ça, généralement moi j’utilise carrément celle de l’OS : « crypt ». Avec le bon « sel » (genre qui commence par $6$) on peut sélectionner un algo de hash récent et solide, qui en plus de ça, par défaut, sera réappliqué plusieurs fois (pour que ce soit plus couteux à casser) et avec sel intégré (de telle sorte qu’on peut « vérifier » le mot de passe en mettant direct le hash avec son sel, ça marchera). Généralement on s’oppose à la fonction crypt parce que sans spécifier de sel, et donc l’algo, il choisira par compatibilité un algo faible et facile à casser (3des il me semble), ce qui est vraiment bête comme compatibilité vu le trou de sécu… au tant casser ce qui marche à ce niveau…

gravatar
Erwann a dit :

Évitez d'utiliser des webmails, préférez l'utilisation d'un client de messagerie (par exemple Thunderbird) et ne laissez pas trainer vos messages dans le cloud ou sur un serveur sur Internet.
Je préfère pop à imap pour cette raison.
Je sais, je suis très vieux jeux.

gravatar
Vernom a dit :

Je me permets de rajouter qu'il est judicieux d'aller faire un tour dans les paramètres du webmail, et surtout au niveau des redirections.
J'ai eu un cas similaire, le "pirate" avait fait une redirection automatique de tous les mails entrant vers une de ses boites mails (une gmail typique pour le coup).
On s'en rend vite compte quand les confirmations mails pour changement de mot de passe sur les services tiers n'arrivent pas.
J'avoue que pour le coup, si il y aurait eu possibilité de faire une "redirection copie" tout en recevant les mails normalement, je serais sûrement passé à coté.
Et même si de moins en moins (tant mieux), certains services renvoient le mot de passe en clair par mail...

gravatar
johen roe a dit :

Salut
Tu dis : "Tous les ans, tous les 6 mois, tous les mois… il en va du niveau de paranoïa de chacun. Perso, je pense que tous les ans est un grand minimum."

Tu ne veux pas dire "un grand maximum" plutôt ?

gravatar
Le Hollandais Volant a dit :

@seb : il vaut mieux éviter : la 2FA ne remplace pas un mot de passe. Tu n'es pas à l'abri de perdre ton téléphone qui reçoit les codes.

@Vernom : en effet, j'ai oublié de la lister : la vérification a bien été faite. Je rajoute ça.

(Par ailleurs, le pirate avait supprimé tous les contacts mais les avait laissé dans la corbeille... Pas bien futé...)

gravatar
Weemix a dit :

Je trouve étonnant de ne pas avoir parlé de gestionnaire de mot de passe dans un article comme celui là.

Autant je ne peux qu'être d'accord sur le fait d'avoir un mot de passe différent pour chaque service, par contre c'est inimaginable sans gestionnaire de mot de passe pour le commun des mortels.
Je ne dis pas que certains sauront faire sans, avec une routine pour se souvenir des MDP différents sur chaque service, mais en plus si on en change régulièrement c'est loin d'être évident et la plupart des gens abandonnera au bout d'un moment.

Il existe plein de gestionnaires de mot de passe simples à utiliser (pour ma part j'utilise BitWarden, mais il existe KeePass, DashLane etc) et qui nous facilitent la vie : génération de mot de passe complexes et longs, auto complétion, partage d'identifiants...
Il suffit de se construire un mot de passe complexe à retenir une bonne fois pour débloquer tous les identifiants enregistrés dedans, et éventuellement un deuxième pour sa boite mail principale, pour ne pas avoir à dépendre de ce gestionnaire pour accéder à ses mails.

gravatar
badsama a dit :

ya 4 ans j'ai décidé de mettre en place la règle du 1 site = 1 mdp

Pour ça j'ai utilisé Keepass (avec un plugin de synchro + saisie auto dans firefox).

C'est un peu pénible au début quand tu dois changer tout tes mdp, mais après c'est juste du confort. Tu t'enlèves de la charge mental à savoir si tu as un compte sur ce site, si oui quel login/mdp, .....

En plus tu peux inventer les réponses au questions secrète pour éviter aux gens de deviner. (Car le nom de mon chat/voiture/collège/... c'est assez facile à trouver si on me connaît)

Bref je conseille à tout le monde ce genre d'outils (et en plus je crois que tu as la fonction rappel pour changer un mdp)

+1 pour le 2FA même si un SMS ça se pirate aussi ( et assez facilement il parait)

gravatar
Le Hollandais Volant a dit :

@Weemix :
@badsama : en effet, il existe ce moyen.
Perso [je n’en utilise pas.

J’ai toujours été méfiant vis à vis de ces outils : pour pouvoir être utilisés, ces systèmes doivent conserver les mots de passe sous une forme qu’il est possible d’exploiter (soit en clair, soit chiffrés), mais pas hashés, et il existe des cas où ces outils ont été piratés. À un époque, Firefox et Chrome (qui ont un tel système intégré) avaient des failles de ce genre.

S’ils sont hashés (avec un bon algo), il est impossible de retrouver le mot de passe à partir des données stockées (autrement que par brute-force, ce qui, pour un bon mot de passe et avec un bon algo, revient à dire « impossible »), mais ça devient aussi inutile en tant que gestionnaire.

Une autre solution dont j’avais eu vent, c’est, pour les systèmes absolument critiques, d’utiliser un mot de passe aléatoire que même toi tu ne connais pas. En gros, au lieu de taper un mot de passe, tu laisses ton chat marcher sur le clavier durant 5 minutes.
Et pour te connecter ensuite, tu utilises la fonction « mot de passe perdu ».

C’est probablement très lourd à utiliser à chaque fois, mais au moins ça permet d’avoir des mots de passes très robustes, sans avoir à les écrire ou les mémoriser. Par contre ça remet toute la confiance dans ton compte e-mail, qui va recevoir tous les liens de réinitialisation.

Le gestionnaire de mot de passe peut être utile, je suppose, mais ça ne figure pas parmi ce que je recommande de moi-même.
J’aurais tendance à trouver qu’une liste de mots de passe sur un papier, caché dans un bouquin au hasard dans une bibliothèque, est plus sécurisée : un papier ne sera jamais récupéré par un virus ou un malware (contrairement à un fichier word ou txt).

gravatar
TontonBallo a dit :

Je suis d'accord avec ce qui a été dit ci-dessus mais il faut habituer aussi les gens à utiliser un gestionnaire de MDP correct ET correctement, Keepass mon préféré (mais un tantinet ardu) permet une 2FA en accès local avec par exemple un pass et un fichier genre texte improbable et/ou image. Une fois dans le gestionnaire, il sait gérer les dates de changement de MDP, la XFA bien sûr on peut intégrer des données, pièces jointes, URL ...etc à chaque clefs choisir bien sûr la composition de ses clefs. Il peut être lié aux navigateur à l'aide de plugins sous GPL. J'en passe et des meilleurs ;)

PS Le truc de protéger l'accès à une base de clefs par MDP ET pièce jointe, fait que vous pouvez mettre la base online sans trop de risques, bien sûr sans le fichier joint ! Voilà mes 2 cts.

Question à Mr Le Hollandais : Pourquoi ça fait toujours 10 ? :D

gravatar
Weemix a dit :

@Le Hollandais Volant : Les mots de passe sont effectivement chiffrés avec la passphrase qu'il faut évidemment longue et complexe pour éviter au maximum le risque du brute force. On peut aussi y activer le 2FA, ce qui limite le risque des keyloggers sur des machines vérolées.
Je ne suis pas expert en la matière mais pour casser un chiffrement AES-256, il faut avoir de sacrés moyens...

Ca reste tout de même sûr et pratique pour le commun des mortels.

Pour démocratiser le MDP unique et fort par service, il faut à mon avis passer par un gestionnaire.
Une infime partie des internautes aura le courage de faire sans gestionnaire et avec une sécurité suffisante sur la durée.

gravatar
Galex a dit :

un gestionnaire de mot de passe chiffré c’est le mieux, t’as un seul mot de passe pour tout, donc plus sûr, je plussoie… si le système de chiffrement a une faille et peut être cassé, il en va de même pour l’ordi/OS/navigateur qui peut avoir des failles, un trojan, et un truc qui sniffe les passes… alors bon… faut voir le modèle de menace…

les clients natifs c’est cool et je suis pour mais le problème c’est qu’ils stagnent alors que les webmail non parce qu’ils sont financés par la vente des données personnelles ou autres conneries, et qu’une UI web est plus facile (et connue) à programmer que GTK ou Qt

aucun vilain critiqueur est venu me critiquer pour ma promotion de crypt, chuis déçu :c (c’est bien crypt, offrez-moi de la contradiction svp que je le défende)

gravatar
Zythom a dit :

Excellent billet comme toujours. Je disconviens respectueusement sur un seul point : le conseil de fin qui recommande de changer régulièrement ses mots de passe. Je reste persuadé que c'est plutôt contreproductif même si cela semble intuitif et recommandé par la plupart des RSSI ou organismes de sécurité. Cela conduit beaucoup d'utilisateurs à noter leurs mots de passe ou à trouver une stratégie basique de génération de mots de passe, cela pénalise celui qui fait l'effort de choisir un bon mot de passe différent pour chaque site... J'ai préféré inscrire dans ma PSSI qu'il n'est PAS obligatoire de changer régulièrement ses mots de passe, MAIS de le faire dès qu'un doute apparaît, ET d'activer la double authentification (partout où cela est possible).

gravatar
Le Hollandais Volant a dit :

@Zythom : Salut Zythom,
En effet changer de mot de passe demande un effort et peut être contre-productif comme tu dis.

Le changer en cas de doute demande de définir ce « doute ».

Autant un appel paniqué de sa banquière peut mettre la puce à l’oreille, autant pour un vulgaire spam, il n’est pas nécessaire de changer de mot de passe.
Il faut enseigner aux gens de faire la part des choses, et savoir où tracer la limite. Ce n’est pas toujours facile (ni pour nous, ni pour ces personnes).

Je vais rajouter à l’article cette notion de « changer de mot de passe en cas de doute » (je ne voudrais pas que certains s’abstiennent de changer le mot de passe d’un compte manifestement piraté car « ce n’est pas le bon jour ! »).
Mais je ne peux pas raisonnablement retirer cette idée de changer régulièrement de mot de passe non plus…

gravatar
Erwann a dit :

Salut Timo,
je partage le point de vue de Zythom.
Je ne suis pas du tout convaincu par l'intérêt de changer régulièrement les mots de passe. D'ailleurs, au cours de l'été 2017, l'auteur de cette recommandation a fait une lettre d'excuse au monde entier pour ce copier/coller malheureux issu des années 1980.
Je suis d'accord avec Toi que le "doute" - c-à-d. être capable de détecter une potentielle compromission - requiert d'éduquer les utilisateurs et que ceux-ci restent quotidiennement vigilants.

Personnellement, je suis pour les "passphrases" au lieu des passwords. Avant d'éduquer les utilisateurs, il faut d'abord éduquer les développeurs !!!


Votre commentaire sera visible après validation par le webmaster.