FORGOT YOUR PASSWORD ?

[Stéphanie Bruhière – Mediashift – 28/05/2009]

Vous croyez votre compte bancaire ou votre boîte e-mail parfaitement protégée par un mot de passe ultra-confidentiel et une question secrète dont la réponse ne serait connue que de vous ? Vous pensiez qu’en mettant deux majuscules, trois chiffres et un dièse dans votre mot de passe, personne ne pourrait pirater vos comptes sur internet ?

Grosse erreur d’après Herbert H. Thompson, journaliste au Scientific American. En effet, celui-ci a souhaité montrer à quel point il était facile et à la portée de tous de pirater le compte d’une tierce personne en passant simplement par le lien « mot de passe oublié ». Pour appuyer ses arguments, il a donc tenté d’accéder au compte bancaire d’une victime de son choix en utilisant la fonction de récupération de mot de passe. Pour cela, il a donc pris pour cible une amie de sa femme au sujet de laquelle il ne connaissait que des informations relativement basiques : son nom, l’Etat où elle résidait, son âge, son lieu de travail et le nom de sa banque. Une première recherche Google à partir du nom de famille de lui dévoile un blog et un vieux CV. Le blog notamment, s’avère extrêmement utile : il y obtient des informations sur sa famille et sur son enfance, ainsi que son adresse e-mail du collège et son adresse G-Mail actuelle.

Il se connecte ensuite sur le site bancaire de l’amie de sa femme. Le lien du fameux « mot de passe oublié ? » le renvoie à la consultation de G-Mail. En effet, un courriel y a été envoyé afin de cliquer sur un lien pour réinitialiser le mot de passe. Il s’agit donc alors d’accéder à la boîte email.

La démarche est la même : G-Mail renvoie le journaliste vers une autre adresse email, renseignée lors de la création du compte. Dans le cas présent, il s’agit de celle que la victime avait au collège, information obtenue auparavant grâce à la recherche Google.

C’est sur ce compte qu’Herbert Thompson va pouvoir agir en cliquant sur le « mot de passe oublié ». Il doit alors répondre à une « question secrète » personnelle afin de changer le mot de passe. Or avec à sa disposition le blog et l’ancien CV, le journaliste a toutes les informations nécessaires pour y répondre. La suite est particulièrement aisée : il accède ainsi au compte G-Mail de l’amie de sa femme à partir duquel il aura accès à l’e-mail envoyé par la banque.

L’expérience est troublante. En effet, depuis quelques temps, les questions secrètes se sont sophistiquées. En plus du traditionnel nom de jeune fille de notre mère, on nous demande également de choisir entre notre héros d’enfance ou notre animal préféré par exemple. Il ne nous viendrait pas à l’esprit qu’un « hacker » puisse connaître ces informations en apparence très personnelles. Or à l’ère des blogs, des curriculum vitae en ligne et des réseaux sociaux sur lesquels l’on n’hésite plus à parler de Doudou, le hamster de notre enfance, il est désormais aisé pour les pirates de découvrir la réponse à ces questions destinées à protéger nos comptes sur internet.

Aux Etats-Unis, il est même possible d’acheter clandestinement des répertoires de renseignements personnels du type « nom de votre animal préféré » pour environ 15 dollars par lot. Si l’on ne dispose pas encore de statistiques précises, cette stratégie est soupçonnée dans de nombreux cas de piratage à l’heure actuelle.

Cet exemple met une fois encore l’accent sur les dangers qu’il peut y avoir à trop dévoiler sa vie sur le net. Les données divulguées restent sur la toile, souvent longtemps après leur diffusion. Cela constitue une véritable mine d’or pour les pirates, d’autant plus que cela ne requiert aucune compétence informatique particulière. La solution se situe alors entre la maîtrise des informations personnelles que l’on diffuse et des changements de mots de passe régulier.

Dès lors, si vous croyiez être le seul à connaître le surnom que vous donnaient vos parents quand vous aviez six ans, il est possible qu’une dizaine de « hackers » soient désormais au courant. Au-delà de l’embarras personnel que cela peut vous causer, c’est surtout tout vos comptes sur le web qui sont menacés.

http://blog.mediashift.fr/2009/05/28/forgot-your-password/

Publicités