54 messages

La sécurité du webmail face au piratage à la demande

...]Le Washington Post rapporte l'histoire de l'américaine Elaine Cialis âgée de 53 ans et résidant dans l'état de Virginie. Cette dernière aurait découvert que son petit ami, marié, aurait d'autres maîtresses. Moyennant 100 dollars, elle aurait fait appel au service de la communauté Yourhackez.com et obtenu le mot de passe du compte AOL de son petit ami. Pour 100 dollars supplémentaires, elle aurait également ' acheté ' les identifiants de connexion de l'épouse de ce dernier ainsi que tous les mots de passe d'une autre de ses maîtresses.

Par la suite, Mme Cionis aurait harcelé son petit ami par téléphone en utilisant un système permettant de modifier le timbre de sa voix. Elle fut interpellée par les autorités fédérales et condamnée à 15 mois de prison pour avoir, entre autres, enfreint les lois encadrant les usages informatiques.

Peter Eckersley, membre de l'équipe technologique de l'Electrique Frontier Foundation - un organisme chargé de défendre les libertés d'expression sur Internet - explique qu'il est difficile d'enrayer les services proposés ouvertement par ce genre de sites Internet. Il déclare ainsi : ' il s'agit d'un point important que les gens n'ont pas compris... Si vous êtes la cible d'un hacker compétent qui prend son temps, il finira par vous avoir '. Pour les autorités, le piratage d'un compte email est condamné mais si ce dernier n'est pas suivi par d'autres activités illégales, il ne s'agit alors que d'un petit délit, explique Orin Kerr, professeur de droit à l'université de Washington.

Sur l'un des sites en question, SlickHackers.com, il est expliqué en page d'accueil : ' nous sommes des professionnels souhaitant aider des gens sérieux et pour qui le mot de passe d'un compte email leur permettrait de sauver leur mariage, de connaître la vérité, d'empêcher une fraude, de protéger sa famille/son travail/ses intérêts lorsque d'autres méthodes plus conventionnelles ne s'y prêtent pas '. Une fois le compte piraté, une capture d'écran ou la copie d'un email de la boîte hackée est envoyée vers le client qui peut donc procéder au paiement, souvent via Paypal.

Devant la provocation affichée de ces communautés, le pouvoir du FBI serait limité. Paul Bresson, un porte-parole de l'agence gouvernementale, déclare ainsi que le FBI ne peut s'afficher en tant que policier du web avant d'ajouter : ' le FBI est conscient de ces services illégaux et par le passé nous avons réussi à identifier des activités criminelles et avons travaillé avec des procureurs pour mettre en oeuvre un dossier d'accusation '. Cependant la plupart de ces sites étant hébergés en dehors du pays, l'enquête et le dialogue avec les autorités locales sont souvent longues.

Lors du sommet sur la sécurité informatique de l'IEEE, des chercheurs de Microsoft et de l'université de Carnegie Mellon avaient démontré que la question secrète permettant d'accéder à sa boite mail en cas d'oubli du mot de passe est souvent bien trop facile à deviner. ' Les questions secrètes à elles seules ne sont pas aussi sécurisées que nous le souhaiterions pour une authentification sécurisée ', expliquait Stuart Schechter, chercheur chez Microsoft. Il ajoutait : ' par ailleurs elles ne sont pas assez fiables pour assurer l'utilisateur qu'il aura de nouveau accès à son compte en cas d'oubli de son mot de passe '.

Lire la brève sur le site

Securité, Webmail

mangara

le 07 Sept. 09 à 15h01

C'est quand même dingue que des gens puissent s'enrichir en piratant des comptes mail... Ca prouve vraiment à quel point la sécurité de ces webmail ressemblent à du gruyère...

leeloo

le 07 Sept. 09 à 15h02

Bien souvent, un système de question secrète un peu mal foutu est la « faille » qui permet d'accéder à un compte.

laabich

le 07 Sept. 09 à 15h04

100$ pour un simple brute-force ? ...

mdc888

le 07 Sept. 09 à 15h04

A quand un comparatif des webmails les plus sécurisés sur cluclu ? XD

angel.heart

le 07 Sept. 09 à 15h10

« nous sommes des professionnels souhaitant aider des gens sérieux et pour qui le mot de passe d'un compte email leur permettrait de sauver leur mariage, de connaître la vérité, d'empêcher une fraude, de protéger sa famille/son travail/ses intérêts lorsque d'autres méthodes plus conventionnelles ne s'y prêtent pas

il aurait valut mieux dire :

« nous sommes des profiteurs souhaitant plumé des gens désespéré et pour qui le mot de passe d'un compte email leur permettrait de fouiller dans la vie privée des gens lorsque d'autres méthodes plus conventionnelles ne s'y prêtent pas

neuronix

le 07 Sept. 09 à 15h11

100$ pour un simple brute-force ? ...

Sans être expert en sécurité, je ne pense pas qu'un brute-force fonctionne car le serveur devrait pouvoir détecter de tels agissements. Plutôt des failles gardées secrètes par quelques hackers qu'ils exploitent pour faire payer les gens... mais peut être qu'il y a un bon parmi nous pour éclairer l'affaire ?

mangara

Shit happens

le 07 Sept. 09 à 15h11

leeloo a écrit:
Bien souvent, un système de question secrète un peu mal foutu est la « faille » qui permet d'accéder à un compte.

Clair et net !

Que la question secrète soit utilisé comme clé de chiffrage ou bien comme ultime vérification avant le renvoi du mot de passe sur la boite, je veux bien, mais ouvrir toute les portes avec "le nom du chat" c'est complétement c&#@!
Edité le 07/09/2009 à 15:11

doomito

le 07 Sept. 09 à 15h17

La nana incriminée, elle s'appelle Elaine "Cialis" ou "Cionis" ? vous avez écrit les deux.

la_saucisse

le 07 Sept. 09 à 15h19

la partie "psychologie" est importante pour un hacker : pourquoi passer des heures avec un brute-force alors qu'on trouve des mots de passe sur des post-it collés aux moniteurs ? pourquoi s'embêter, alors que la "victime" est probablement allée au plus simple pour ses mots de passe ?

le coup des questions secrètes, c'est du pain béni : excepté quelques services qui permettent de choisir sa propre question, la plupart imposent un choix parmi 4 ou 5, genre "le nom de votre chien", "le prenom de votre mère", tu parles d'un secret d'état !!

vu tout ce qu'on trouve sur la vie privée des gens maintenant sur le net, entre les facebook et mayspace, ça doit souvent être assez facile de trouver la réponse à ce genre de questions.

surtout pour des enquêtes à la demande : la femme veut espionner les mails de son mari mais n'y connait rien en informatique. le hacker engagé tente un "j'ai oublié mon mot de passe et l'email utilisé" pour qu'on lui pose la fameuse "question secrète". Là, il a "quel est le prénom de votre mère ?" : il a juste à poser la question à la femme, et hop !
(elle aurait pu économiser 100$, mais bon)

[TheJoker]

le 07 Sept. 09 à 15h21

"Le Washington Post rapporte l'histoire de l'américaine Elaine Cialis"

"Par la suite, Mme Cionis"

Finalement elle s'appelle comment ?

la_saucisse

le 07 Sept. 09 à 15h21

mangara a écrit:
[...]ouvrir toute les portes avec "le nom du chat" c'est complétement c&#@!"

c'est débile mais ça doit marcher bien plus souvent qu'on ne le croit !

Pfunk

le 07 Sept. 09 à 15h24

En exagérant un peu, ça laisse aussi perplexe sur les possibles utilisations de ce type de service par des entreprises puissantes pour espionner les communication mail de leur petits concurrent qui pourraient devenir trop grands à leur yeux...
Edité le 07/09/2009 à 15:28

Bou2004

le 07 Sept. 09 à 15h26

laabich a écrit:
100$ pour un simple brute-force ? ...

c'est un peu plus que ça, les webmail sérieux sont protégés contre ça (au bout de quelques tentatives, tu ne peux plus te connecter pendant 5 ou 10 min, le bruteforce ne sert plus à rien)...

la_saucisse a écrit:
la partie "psychologie" est importante pour un hacker : pourquoi passer des heures avec un brute-force alors qu'on trouve des mots de passe sur des post-it collés aux moniteurs ? pourquoi s'embêter, alors que la "victime" est probablement allée au plus simple pour ses mots de passe ?

le coup des questions secrètes, c'est du pain béni : excepté quelques services qui permettent de choisir sa propre question, la plupart imposent un choix parmi 4 ou 5, genre "le nom de votre chien", "le prenom de votre mère", tu parles d'un secret d'état !!

vu tout ce qu'on trouve sur la vie privée des gens maintenant sur le net, entre les facebook et mayspace, ça doit souvent être assez facile de trouver la réponse à ce genre de questions.

surtout pour des enquêtes à la demande : la femme veut espionner les mails de son mari mais n'y connait rien en informatique. le hacker engagé tente un "j'ai oublié mon mot de passe et l'email utilisé" pour qu'on lui pose la fameuse "question secrète". Là, il a "quel est le prénom de votre mère ?" : il a juste à poser la question à la femme, et hop !
(elle aurait pu économiser 100$, mais bon)

c'était même la spécialité de Kevin Mitnick et ça s'appele du social engineering

Pfunk a écrit:
En exagérant un peu, ça laisse aussi perplexe sur les possibles utilisations de ce type de service par des entreprises puissantes pour espionner les communication mail de leur petits concurrent qui pourraient devenir trop grands à leur yeux...

je doute très fortement qu'une boîte un minimum sérieuse utilise des webmail pour ses employés (sauf si les mails échangés ne contiennent que dalle ou si la boîte est suicidaire)...

Edité le 07/09/2009 à 15:29

Dr J-Kill

le 07 Sept. 09 à 15h27

[TheJoker] a écrit:
"Le Washington Post rapporte l'histoire de l'américaine Elaine Cialis"

"Par la suite, Mme Cionis"

Finalement elle s'appelle comment ?

Nan mais les gars, arrêtez de faire chier quoi, on s'en fou du nom de la meuf !
Edité le 07/09/2009 à 15:29

kisama56

le 07 Sept. 09 à 15h27

Moi je capte pas, le FBI dit qu'il ne peut rien faire, mais comme il y a payement ne serait-il pas possible d'établir un liste noir de ce genre de site pour que Paypal n'est pas le droit dialoguer avec eux ?

Plus raisonnablement sachant qu'un étude vient de tomber où l'on apprend que 50% des français n'utilise qu'un seul mdp
www.numerama.com...
www.pcworld.fr...
La personne dérobe potentiellement l'intégralité de l'identité numérique de l'autre

jerool

le 07 Sept. 09 à 15h29

Les gens pensent encore que informatique est synonyme de magie... Pourtant haute-sécurité ne signifie pas sécurité parfaite...

@mangara : Pourquoi l'informatique serait plus sécurisé que la vrai vie ?? Dans la vrai vie il suffit de prendre la peine de suivre quelqu'un en notant tout avec un bon APN et on récupère toute sa vie.

C'est même un travail pour tous les détective privé, et c'est légal !

Toute les sécurités sont des gruyères enfin ! On dirait que des gens ont attendu l'informatique pour s'en rendre compte... Inutile de classer la sécu des webmails car il y a aussi la sécurité de l'hébergeur du webmail, celle de l'utilisateur et de sont poste de travail et celle de tous les cables/machines qui relient ce beau monde !

Il faut sortir de ce rêve constitué d'illusions publicitaires et voir les nouvelles technologies dans leur ensemble, pas uniquement la partie qui vous rend service !!
Par exemple, un portable permet de téléphoner et être joint n'importe ou, mais on est scandalisés quand on apprends qu'on peux vous localiser avec, pourtant c'est évident c'est LOGIQUE sinon le téléphone ne fonctionnerait pas...

Pour les mails, les paiements en ligne et cie c'est la même chose on vous permet de faire des choses à distance sans présence physique, il faut bien trouver un moyen de vous authentifier non ?

Le seul moyen de ne pas se faire pirater sa boite mail c'est de ne pas en avoir sinon il y a TOUJOURS un(des) moyen(s) il suffit de les prendre.