Les Inrocks 12/03/2010 à 11h11

Comment un hacker a pénétré la boîte mail de deux députés

LesInrocks.com"
Nicolas Kayser-Bril


Un enfant regarde à travers la fente d'une boîte aux lettres (Alex Grech/Flickr)

Le week-end dernier, à la suite de mon article sur l'utilisation des probabilités pour pénétrer des comptes e-mails, un internaute nous a envoyé les copies d'écran des boîtes mails de deux députés. En cliquant simplement sur le lien « mot de passe oublié », il a réussi à s'introduire sur les adresses (publiques) de pierre.forgues@laposte.net et philippegoujon@hotmail.com, respectivement, députés de Tarbes et de Paris.

Dans mon précédent post, j'expliquais que des chercheurs britanniques avaient montré qu'un assaillant avait à peu près une chance sur 100 de deviner la réponse à une question de sécurité du type « quel était le nom de jeune fille de votre mère » en essayant les noms les plus courants.

Hackés mais pas pressés

Notre source, qui souhaite rester anonyme, explique avoir utilisé une méthode proche de celle-là. Pour pouvoir réinitialiser le mot de passe, il lui a fallu trouver la date de naissance des députés et répondre, dans les deux cas, à la question « Quelle est la ville de naissance de votre mère ? ». La date de naissance se trouve sur le site de l'Assemblée. Les villes de naissance étaient les mêmes que les villes de résidence. Plus facile, tu meurs.

Contacté par téléphone dès lundi, les assistantes des députés en question se sont montrées peu surprises. A Paris, on était au courant de « difficultés pour accéder à la boîte hotmail ». A Tarbes, on ne s'était même pas aperçu de l'intrusion.

Malgré de nombreux coups de fils aux bureaux des deux députés, personne n'a voulu réagir. L'équipe de Philippe Goujon nous a remerciés de les avoir prévenus, mais refuse de commenter. Et surtout, ne précise pas quelles mesures ont été mises en place pour éviter qu'un tel incident se reproduise.

Les questions de sécurité bâclées ne concernent pas seulement les deux députés cités. Un petit tour sur le site de l'Assemblée montre qu'une trentaine de députés utilisent des boîtes mails dont le mot de passe peut être retrouvé au travers des questions de sécurité.

Plus efficace qu'une armée d'espions

Imaginons maintenant ce qu'un hacker mal intentionné aurait pu faire. Le rythme de travail en ligne des députés est tel qu'on peut être certain d'être tranquille pendant 6 à 48 heures en prenant contrôle de la boîte mail dans la nuit du vendredi.

Une fois aux commandes, on peut faire plusieurs choses :

  • Retrouver le mot de passe original. C'est pas si difficile. La plupart des internautes n'utilisent qu'un seul mot de passe pour tous leurs services. Certains mails de confirmation d'inscription contiennent le mot de passe en clair. Il suffit de rechercher « mot de passe » dans les archives de la boîte. A ce moment là, on a un accès illimité dans le temps aux conversations du député, qui ne se doute de rien. Plus efficace qu'un micro caché sous une table.
  • Détruire son activité en ligne. Le contrôle de la boîte mail implique un contrôle de Facebook, Twitter etc. Libre au hacker de semer la zizanie partout où il le peut.
  • Envoyer des chevaux de Troie aux autres députés. Au bout d'un moment, le député hacké va se douter de quelque chose. Mais entre temps, on peut envoyer des virus à tous les autres députés, en envoyant par exemple un fichier au format « doc » infecté par un keylogger. Ce programme permet d'enregistrer tout ce qui est frappé sur un clavier et de les renvoyer à un ordinateur distant. Imparable pour trouver les mots de passe.

En s'introduisant dans la boîte mail d'un député, on peut donc facilement espionner tous les autres. De fil en aiguille et en suivant la même technique, on peut facilement remonter aux membres du gouvernement, et de là, à toute l'administration.

Les conséquences possibles font presque aussi peur que la légèreté avec laquelle les députés concernés réagissent à la nouvelle.

Contre la cybercriminalité, incapables de sécuriser leurs mails

Pourtant, quand il s'agit de sécurité en ligne, nos députés sont rarement en reste, assurant comprendre l'étendue du problème.

L'exposé des motifs de la loi d'orientation et de programmation pour la performance de la sécurité intérieure (LOPPSI) est exemplaire. Il y est dit que « les outils de lutte contre la cybercriminalité seront généralisés et renouvelés » (ce qui implique, « pour notre sécurité », un filtrage du web).

Parmi ceux qui ont voté la loi, certains ne comprennent même pas comment sécuriser leur propre boîte mail. Comment croire qu'ils comprennent quoi que ce soit aux « outils de lutte contre la cybercriminalité » en question ?

Philippe Goujon a été particulièrement actif lors du débat sur la LOPPSI. Il s'est fendu de plusieurs interventions dans l'hémicycle, promettant à ses concitoyens « une meilleure sécurité à un meilleur coût ».

Ces députés, qui prennent manifestement la question de leur propre cybersécurité à la légère, ont approuvé une avalanche de mesures sécuritaires à un prix de 2,5 milliards d'euros. C'est à peu près autant que le budget du ministère de la Culture.

 ? Addendum le 12/3 à 21h17. Dans un communiqué, le député Philippe Goujon a annoncé qu'il avait porté plainte contre ce qui est, selon lui, « un acte de représailles contre son action et celle du gouvernement pour protéger davantage les internautes » :

« Cette boîte utilisée à des fins privées ne contenait aucune information confidentielle..Les codes d'accès ont néanmoins été modifiés dès que l'intrusion a été suspectée. [Philippe Goujon] possède pour ses activités d'élu des boîtes parfaitement sécurisées. » Rue89

En partenariat avec LesInrocks.com

Publié initialement sur
LesInrocks.com
  • 36458 visites
  • 78 réactions
TAGS
Vous devez être connecté pour commenter : or inscrivez-vous
  • little_brother
    little_brother répond à Oli6er
    • Posté à 11h53 le 12/03/2010

    Juste une petite précision : un hacker n'est pas un pirate.

    De wikipedia (Lien)
    Hacker est à l'origine un mot anglais signifiant bricoleur, bidouilleur, utilisé pour désigner en informatique les programmeurs astucieux et débrouillards. Plus généralement il désigne le possesseur d'une connaissance technique lui permettant de modifier un objet ou un mécanisme pour lui faire faire autre chose que ce qui était initialement prévu.

    Malheureusement on tend à confondre hacker et pirate ou black hat.

  • LeGnoll
    • Posté à 12h25 le 12/03/2010

    Article tres intéressants pour comprendre que ceux qui votent des lois pour la « sécurité » du net ne sont pas plus avertis que le péquin moyen sur ce qu'il faut faire pour se protéger...

    Par contre je trouve la dernière saillie sur le budget Loppsi 2 un peu douteuse et démagogue. Par honneteté intellectuelle il faudrait préciser que le budget de Loppsi 2 en cinq an équivaut à celui de la culture en 2009.
    Parce que si l'on fait une stricte comparaison, le budget de la culture est plus de cinq fois supérieur à celui de la sécurité du net...

  • Keldan
    Keldan répond à Oli6er
    Now future & karpe diem
    • Posté à 17h29 le 12/03/2010
    • Internaute
      Now future & karpe diem

    Les activités illégales informatiques, que ce soit créer un virus, pirater un compte, etc. ne requiert qu'à moitié des connaissances techniques. L'autre moitié est purement psychologique, il suffit de comprendre la nature humaine, ce qu'on appelle le social engineering.

    Il m'est arrivé de récupérer des mots de passe de clients simplement en les appelant et en disant que j'étais de la société qui gérait leur système de gestion. C'était parfaitement vrai, et j'avais besoin de ses mots de passe pour le boulot, mais ces cons me les ont donnés sans réellement savoir qui j'étais.

    Et combien de fois voit-on des gens taper leur mot de passe sous nos yeux, de telle manière qu'on voit ce qu'il tape. Et je parle pas des collègues, mais de gens comme des banquiers, des toubibs ou autres administratifs avec qui on a régulièrement à faire.

    Un autre exemple, le virus dit « I love you » aurait-il été si efficace si il s'appelait autrement ? J'en doute. Combien de types ont ouvert la pièce jointe, le sexe tumescent, simplement parce qu'ils ont reçu un mail ainsi intitulé de la part de leur collègue sexy ?

    Dans une de mes anciennes boites, un virus a fait quelques ravages. Le nom de la pièce jointe meuf_sexy_nue.jpg.vbs (en fait c'était pas « meuf_sexy » mais le nom d'une fille connue et canon à la mode que j'ai oublié).

    Mais pour lutter contre ça, le social engineering fonctionne aussi : comme chaque ouverture de la pièce jointe envoyait le virus aux contacts, donc au reste de la société, il était facile de voir qui s'était fait piégé.
    Du coup nous avons publié une liste dite « des obsédés sexuels, frustrés et autres puceaux » que nous avons affiché dans la salle à café. Même le patron était listé...
    Et c'est à dessin que nous avions utilisé le masculin : sur une vingtaine de personne qui se sont fait prendre la teub dans le virus, il y avait 0 femme.
    En tout cas, la fois suivante, le virus s'était nettement moins bien propagé.

  • flixp
    flixp
    Aboyeur
    • Posté à 17h38 le 12/03/2010
    • Internaute
      Aboyeur

    email : nicolas.sarkozy@elysee.fr
    mdp : c4rLIt4miAm0R

    email : carla.bruni@elysee.fr
    mdp : tUaiMakm3

  • malkav
    malkav répond à _Shaman_
    • Posté à 21h55 le 12/03/2010

    allez, juste pour le souvenir.
    Lienpar Lien

    qu'est ce qu'on aurais ri si c'etait pas a pleurer