Les Inrocks 12/03/2010 à 11h11

Comment un hacker a pénétré la boîte mail de deux députés

LesInrocks.com"
Nicolas Kayser-Bril | Co-fondateur de Journalism++


Un enfant regarde à travers la fente d’une boîte aux lettres (Alex Grech/Flickr)

Le week-end dernier, à la suite de mon article sur l’utilisation des probabilités pour pénétrer des comptes e-mails, un internaute nous a envoyé les copies d’écran des boîtes mails de deux députés. En cliquant simplement sur le lien « mot de passe oublié », il a réussi à s’introduire sur les adresses (publiques) de pierre.forgues@laposte.net et philippegoujon@hotmail.com, respectivement, députés de Tarbes et de Paris.

Dans mon précédent post, j’expliquais que des chercheurs britanniques avaient montré qu’un assaillant avait à peu près une chance sur 100 de deviner la réponse à une question de sécurité du type « quel était le nom de jeune fille de votre mère » en essayant les noms les plus courants.

Hackés mais pas pressés

Notre source, qui souhaite rester anonyme, explique avoir utilisé une méthode proche de celle-là. Pour pouvoir réinitialiser le mot de passe, il lui a fallu trouver la date de naissance des députés et répondre, dans les deux cas, à la question « Quelle est la ville de naissance de votre mère ? ». La date de naissance se trouve sur le site de l’Assemblée. Les villes de naissance étaient les mêmes que les villes de résidence. Plus facile, tu meurs.

Contacté par téléphone dès lundi, les assistantes des députés en question se sont montrées peu surprises. A Paris, on était au courant de « difficultés pour accéder à la boîte hotmail ». A Tarbes, on ne s’était même pas aperçu de l’intrusion.

Malgré de nombreux coups de fils aux bureaux des deux députés, personne n’a voulu réagir. L’équipe de Philippe Goujon nous a remerciés de les avoir prévenus, mais refuse de commenter. Et surtout, ne précise pas quelles mesures ont été mises en place pour éviter qu’un tel incident se reproduise.

Les questions de sécurité bâclées ne concernent pas seulement les deux députés cités. Un petit tour sur le site de l’Assemblée montre qu’une trentaine de députés utilisent des boîtes mails dont le mot de passe peut être retrouvé au travers des questions de sécurité.

Plus efficace qu’une armée d’espions

Imaginons maintenant ce qu’un hacker mal intentionné aurait pu faire. Le rythme de travail en ligne des députés est tel qu’on peut être certain d’être tranquille pendant 6 à 48 heures en prenant contrôle de la boîte mail dans la nuit du vendredi.

Une fois aux commandes, on peut faire plusieurs choses :

  • Retrouver le mot de passe original. C’est pas si difficile. La plupart des internautes n’utilisent qu’un seul mot de passe pour tous leurs services. Certains mails de confirmation d’inscription contiennent le mot de passe en clair. Il suffit de rechercher « mot de passe » dans les archives de la boîte. A ce moment là, on a un accès illimité dans le temps aux conversations du député, qui ne se doute de rien. Plus efficace qu’un micro caché sous une table.
  • Détruire son activité en ligne. Le contrôle de la boîte mail implique un contrôle de Facebook, Twitter etc. Libre au hacker de semer la zizanie partout où il le peut.
  • Envoyer des chevaux de Troie aux autres députés. Au bout d’un moment, le député hacké va se douter de quelque chose. Mais entre temps, on peut envoyer des virus à tous les autres députés, en envoyant par exemple un fichier au format « doc » infecté par un keylogger. Ce programme permet d’enregistrer tout ce qui est frappé sur un clavier et de les renvoyer à un ordinateur distant. Imparable pour trouver les mots de passe.

En s’introduisant dans la boîte mail d’un député, on peut donc facilement espionner tous les autres. De fil en aiguille et en suivant la même technique, on peut facilement remonter aux membres du gouvernement, et de là, à toute l’administration.

Les conséquences possibles font presque aussi peur que la légèreté avec laquelle les députés concernés réagissent à la nouvelle.

Contre la cybercriminalité, incapables de sécuriser leurs mails

Pourtant, quand il s’agit de sécurité en ligne, nos députés sont rarement en reste, assurant comprendre l’étendue du problème.

L’exposé des motifs de la loi d’orientation et de programmation pour la performance de la sécurité intérieure (LOPPSI) est exemplaire. Il y est dit que « les outils de lutte contre la cybercriminalité seront généralisés et renouvelés » (ce qui implique, « pour notre sécurité », un filtrage du web).

Parmi ceux qui ont voté la loi, certains ne comprennent même pas comment sécuriser leur propre boîte mail. Comment croire qu’ils comprennent quoi que ce soit aux « outils de lutte contre la cybercriminalité » en question ?

Philippe Goujon a été particulièrement actif lors du débat sur la LOPPSI. Il s’est fendu de plusieurs interventions dans l’hémicycle, promettant à ses concitoyens « une meilleure sécurité à un meilleur coût ».

Ces députés, qui prennent manifestement la question de leur propre cybersécurité à la légère, ont approuvé une avalanche de mesures sécuritaires à un prix de 2,5 milliards d’euros. C’est à peu près autant que le budget du ministère de la Culture.

 ? Addendum le 12/3 à 21h17. Dans un communiqué, le député Philippe Goujon a annoncé qu’il avait porté plainte contre ce qui est, selon lui, « un acte de représailles contre son action et celle du gouvernement pour protéger davantage les internautes » :

« Cette boîte utilisée à des fins privées ne contenait aucune information confidentielle..Les codes d’accès ont néanmoins été modifiés dès que l’intrusion a été suspectée. [Philippe Goujon] possède pour ses activités d’élu des boîtes parfaitement sécurisées. » Rue89

En partenariat avec LesInrocks.com

Publié initialement sur
LesInrocks.com
  • 36776 visites
  • 78 réactions
TAGS
Vous devez être connecté pour commenter : or inscrivez-vous
  • nemo3637
    nemo3637
    Déchoukeur
    • Posté à 20h43 le 12/03/2010
    • Internaute 44521
      Déchoukeur

    Mille-Calottes pour un zébulon.

  • tessnel
    tessnel
    parce que fraise des bois
    • Posté à 00h32 le 13/03/2010
    • Internaute 102897
      parce que fraise des bois

    Simplement le nombre de calottes que vous êtes prêt a accepter...

  • richy
    • Posté à 14h49 le 12/03/2010
    • Internaute 38388

    les deputes ne s’y connaissent en rien ! ! , là n’est pas le problème, le problème est qu’ils sont incapable d’embaucher des subordonnés compétents,entre clientélisme famille,stagiaires sous voir impayés comment voullez vous que l’état fonctionne ?

  • rrrobotom
    rrrobotom
    Sea lover
    • Posté à 15h39 le 12/03/2010
    • Internaute 70782
      Sea lover

    Les deux députés concernés sont ; Pierre Forgues et Philippe Goujon. Pour Pierre c’est admissible mais pour Philippe non ; il aurait pu équiper son goujon d’écrou. Bon maintenant si je reviens au sujet voilà à mon humble avis une bonne façon de se protéger des hackers quand on a des trucs confidentiels : mettez les sur un disque dur portatif que vous branchez quand vous voulez. Pour ce qui est dans l’ordi on n’est pas encore assez bien protégé quelques soient les fire wall et les antivirus dont on dispose. Quand vous surfez sur internet c’est comme si vous êtes dans la rue. Vous êtes exposés aux malfaiteurs. Alors ne vous promenez en affichant ce que vous avez comme argents sur vous.

  • jmc06
    jmc06
    chasseur de gorille
    • Posté à 15h40 le 12/03/2010
    • Internaute 75030
      chasseur de gorille

    si vous trouvez l’extention d’un nom de domaine, vous pouvez faire pire que rentrer dans une boite mail

  • nikii
    nikii
    ras
    • Posté à 16h09 le 12/03/2010
    • Internaute 108331
      ras

    cette histoire de piratage via la question secrète me paraît hautement improbable.
    En effet, sur hotmail, si on a oublié son mot de passe, on doit effectivement répondre à la question secrète. Mais le mot de passe est ensuite adressé sur une adresse mail qu’on a défini lors de l’inscription à hotmail.

    La réponse à la question secrète ne permet pas de se connecter. Elle ne fait que générer le renvoi du mot de passe ....

  • lmartelli
    lmartelli
    Paris
    • Posté à 16h33 le 12/03/2010
    • Internaute 38548
      Paris

    Je pense que la faute n’incombe pas aux députés mais aux fournisseurs de services de messagerie qui propose par défaut des questions pour réinitialiser le mot de passe qui ne sont pas assez sécurisées.

    • poutre
      poutre répond à lmartelli
      –-
      • Posté à 16h44 le 12/03/2010
      • Internaute 86833
        –-

      Vous dites : « la faute n’incombe pas aux députés mais aux fournisseurs de services de messagerie ».

      Bien sûr que les députés en question sont les fautifs ! C’est à eux de choisir une messagerie à la hauteur de leurs responsabilités.

      Quand on possède une moto, on n’utilise pas un antivol de vélo.

      Salutations.

  • guyome
    • Posté à 16h38 le 12/03/2010
    • Internaute 11884

    Oula, mais il manque quelques petits ingrédients. Commençons par poser le cadre : EUCD, DADVSI, HADOPI et un petit traité secret : l’ACTA. Ne pas oublier la LOPPSI, ses nouveaux fichages et ses troyans. Ensuite, un rien d’actualité : avec les infos sur Ali Soumaré sorties du STIC et l’espionnage informatique dont à été victime Greenpeace. Il nous reste l’une incompétence politique et et l’incompréhension de la sécurité informatique. Voilà plus qu’à voir comment cale va finir

  • tweesty
    tweesty
    Gaucher et contrarié
    • Posté à 17h09 le 12/03/2010
    • Internaute 83901
      Gaucher et contrarié

    Le plus amusant dans cette histoire demeure l’idée que ce sont les élus qui ont le plus étalé leur vie privée dans la presse ou dans des biographies de promotion qui ont le plus de chance d’être touchés par ce phénomène.
    Pas besoin de connaissances spécifiques en informatique. Une documentation fournie et un peu de psy chologie suffisent.
    Les questions posées par les fournisseurs d’accès sont :
    -Le nom de jeune fille de votre mère,
    -Le nom de votre animal de compagnie,
    -Le nom de la rue de votre enfance.
    Pas insurmontable tout ça...

    • brazz
      brazz répond à tweesty
      • Posté à 17h40 le 12/03/2010
      • Internaute 40271

      Hum, je ne suis pas d’accord : il n’y a pas bien sur de contrôle de validité sur par exemple le nom de jeune fille, imaginons que je mette « Avenue-Révolution » pour me faire penser en réalité à « Rue89 » qui serait la bonne réponse... et on peut nettement raffiner, je n’ai pas passé de temps spécialement, c’est juste un exemple du mécanisme.
      Mais si l’auteur de l’article a raison en ce qui concerne les élus, c’est vrai aussi que c’est presque général dans la majorité des entreprises... En fait, l’informatique n’est pas vraiment entrée dans les moeurs et en plus, même pour les autres, la flemme fait le reste !

  • ColvertLE
    ColvertLE
    Retraité
    • Posté à 17h28 le 12/03/2010
    • Internaute 84712
      Retraité

    « Parmi ceux qui ont voté la loi, certains ne comprennent même pas comment sécuriser leur propre boîte mail. Comment croire qu’ils comprennent quoi que ce soit aux “ outils de lutte contre la cybercriminalité ” en question ?

    Philippe Goujon a été particulièrement actif lors du débat sur la LOPPSI. Il s’est fendu de plusieurs interventions dans l’hémicycle, promettant à ses concitoyens “ une meilleure sécurité à un meilleur coût ”.

    Ces députés, qui prennent manifestement la question de leur propre cybersécurité à la légère, ont approuvé une avalanche de mesures sécuritaires à un prix de 2,5 milliards d’euros. C’est à peu près autant que le budget du ministère de la Culture ».
    ––––––––––––––––––––––––––
    Comment ces gouvernants et élus à la botte du monarque, qui ne comprennent pratiquement rien à l’informatique et à Internet (Voir les répliques sur Open Office,de Dame Albanel) peuvent ils prétendre gérer sèrieusement les moyens de communication ?
    Déja ils se font cibler et piéger, ils se dirigent vers de sérieux déboires (Nous n’avons pas fini d’en rire) et malheureusement vont coûter trés cher aux finances publiques pour essayer d’amener un pactole dans les poches de quelques majors prédateurs et vénaux.

  • Keldan
    Keldan
    Now future & karpe diem
    • Posté à 17h32 le 12/03/2010
    • Internaute 5164
      Now future & karpe diem

    Il y a vraiment des gens qui répondent à ces questions débiles ?
    Jamais de ma vie il me viendrait à l’idée de soumettre la récupération de mon mot de passe à une question aussi simple, il est trop évident d’avoir la réponse.
    Au minimum il faut changer le sens de la question, du genre on nous demande la date de naissance de la mère, alors on file celle du père ou de la fille.

  • arnob
    • Posté à 17h34 le 12/03/2010
    • Internaute 15649

    il est souvent possible de desactiver cette question secrete. Ou, pour la question secrete, choisir un autre mot de passe genere par un logiciel tel que keepass Lien ou lastpass Lien

    • Frondoso
      Frondoso répond à arnob
      géomaticien
      • Posté à 09h55 le 13/03/2010
      • Internaute 20519
        géomaticien

      question : ces logiciels ou site stockent-ils les infos sur un serveur distant ou en local ? Dans la première hypothèse quel est l’intérêt ?

      • arnob
        arnob répond à Frondoso
        • Posté à 12h58 le 13/03/2010
        • Internaute 15649

        keepass stocke ces infos sur l’ordinateur de l’utilisateur et lastpass a la fois sur un seveur distant et en local. L’interet de lastpass est d’avoir acces a ses nombreux mots de passe facilement et n’importe ou, avec n’importe quel ordinateur tout en n’ayant qu’a memoriser un seul mot de passe (a choisir complique)

  • flixp
    flixp
    Aboyeur
    • Posté à 17h38 le 12/03/2010
    • Internaute 34063
      Aboyeur

    email : nicolas.sarkozy@elysee.fr
    mdp : c4rLIt4miAm0R

    email : carla.bruni@elysee.fr
    mdp : tUaiMakm3

    • Frondoso
      Frondoso répond à flixp
      géomaticien
      • Posté à 09h53 le 13/03/2010
      • Internaute 20519
        géomaticien

      email : carla.bruni@elysee.fra changé son mdp..
      KelK1MadI

  • M.Gecko
    M.Gecko
    lézard
    • Posté à 18h26 le 12/03/2010
    • Internaute 47135
      lézard

    Le parallèle fait entre le coût de la Loppsi et le budget du ministère de la Culture est parfaitement malhonnête : si on va vérifie les chiffres, voilà ce qu’on lit : « 187 millions d’euros sont prévus pour la financer en 2009, 375 millions pour 2010, 483 millions pour 2011, 657 millions pour 2012 et 836 millions pour 2013 ».
    Soit, certes, 2,5 milliards d’euros. Mais sur 5 ans, soit l’équivalent du budget ANNUEL du ministère de la Culture...
    On peut trouver ça scandaleux - c’est mon cas. Mais il faut d’abord ne pas écrire d’âneries...

  • _Shaman_
    _Shaman_
    ...
    • Posté à 18h27 le 12/03/2010
    • Internaute 65027
      ...

    Je croyais pourtant les députés et les ministres experts en sécurité informatique !
    En effet aucun d’eux n’utilisent le pare-feu d’Openoffice préconisé par Madame, Anéfé, Albanel ?

    Le plus désolant c’est de voir que ces gens qui nous représentent votent des lois sur des sujets qu’ils ne maîtrisent pas mais plus grave qu’ils n’essaient pas de comprendre.

  • bozox
    • Posté à 22h00 le 12/03/2010
    • Internaute 28752

    Pfff. vu l’utilité des membres de nos chambres d’enregistrements, de toute façon à part la dernière vidéo dégueulasse envoyée pour rire par Roselyne Bachelot ou Christine Boutin, il ne doit pas y passer grand chose de stratégique...

  • Désinscrit le 15-6
    • Posté à 07h39 le 13/03/2010
    • Internaute 83404
      nc

    En tant que Webmistress je dirige un forum que j’ai programmé donc : , j’ai l’adresse mail, le mot de passe de tout les utilisateurs pour le forum, leur IP, leur adresse, j’ai des infos sur eux via ce qu’ils racontent.
    Il m’est très facile d’utiliser ces informations pour tenter d’atteindre leurs espaces perso (Ce que je ne fais pas, pas envie d’aller en prison)

    Donc :
    Ne réutilisez JAMAIS le même mot de passe de forum en forum, de site en sites.

    Les mots de passe les plus courants :

    azerty
    mot de passe
    ordinateur
    test
    1234
    (prénom de l’utilisateur)

    Les mot de passes à ne pas choisir :

    Un mot du dictionnaire suivit de 1 à 3 chiffres, exemple :

    casserole2
    rigolo75
    Serge557

    Parcourir tous les mots du dictionnaire pour un programme c’est un jeu d’enfant, si l’on y accole tous les digits de 0 à 999 c’est juste un peu plus long, mais cela se fait.

    les meilleurs mot de passe font plus de 8 caractères et sont du genre :

    g4ioz7kni
    ko1ka9nh
    Il1pjpp45s

    N’hésitez pas à utiliser : I l o 0 difficile à lire comme cela et donc souvent ecartés par les utilisateurs et donc par les pirates
    (un, « i » majuscule, « L minuscule » , « lettre o » chiffre 0)
    Vous pouvez doubler, tripler les caractères.
    Si le site vous le permet vous pouvez insérer :
    & ’ ( - è _ ç à ) ù ! etc...
    cela donne des mots de passe de plus de 8 caractères comprenant l’ensemble des caractères
    bçj7-z_éjj1

    Pour la question secrète il ne faut pas y répondre, si c’est obligatoire vous répondrez « fl1iq4pokcneps7h » ou un truc comme ça.

    Tout cela nécessite une rigueur et un cahier de note de mots de passes qui devient une faiblesse certes.

    certains utilisent un texte pour ce souvenir de leur mot de passe, cela à ces limites aussi :

    « le ciel est par dessus le toit, si bleu, si calme, un arbre par dessus le toit berce sa palme »

    Deuxieme lettre de chaque mot : Mot de passe : eisaeeolianraeeoeaa

    Dernier point, un mot de passe se change régulièrement

    ps
    j’espère et j’imagine que les adresses mail des 2 députés citées dans l’article sont fausses, ce serait trop gros évidemment. Ma supposition est bête.

    • Frondoso
      Frondoso répond à Désinscrit le 15-6
      géomaticien
      • Posté à 09h51 le 13/03/2010
      • Internaute 20519
        géomaticien

      je plussoie l’utilisation de strophes, vers ou citation pour l’élaboration des mots de passes. A compléter de quelques chiffres mais même sans ça, un petit add on de crypto : CryptoFox 1.6 par exemple, et le mdp devrait résister à pas mal de tentative (par contre bon courage pour mémoriser « BFKbSxYWFhabpdddrBYIaGDbAWs= » (droit au but en AES 192 bit))

  • bipo
    bipo
    NA
    • Posté à 12h18 le 14/03/2010
    • Internaute 108477
      NA

    Nicolas,

    La question de la sécurité des boites mails selon ces méthodes a été traitée il y a un an déjà (ces articles sont plutôt en retard sur le sujet) : Lien.

    Le lobbying avec Loppsi2 en relecture au sénat n’est pas franchement abordé .... Et c’est, à mon avis, un tord, car le sujet est en partie là ! ! Et ce point est très actuel ! ! ! ! !

    De plus il ne s’agit pas de sécurité informatique au sens propre mais de sécurité informationnelle ... il ne s’agit pas de pirater ( !) mais d’utiliser des informations libres d’accès et la crédulité de certains utilisateurs pour obtenir le nom de jeune fille ou ville d’origine renseignez sur les réseaux sociaux accessibles et qui peuvent être des clefs pour pénétrer une boite mail ! ! [C’est naturellement illégal ... mais je tenais à préciser la différence qui n’est pas sens importance].

    ... bref il faut faire attention à ne pas buzzer dans tous les sens, et inquiéter les gens pour alimenter un lobbying pro HADOPI, LOPPSI etc … sans se poser de question [Je ne porte pas de jugement sur ces lois, mais sur le Lobbying derrière Oui.]

    Bipo

  • SkippyleGrandGourou
    SkippyleGrandGourou
    chercheur précaire
    • Posté à 19h49 le 14/03/2010
    • Expert 51768
      chercheur précaire

    « un acte de représailles contre son action et celle du gouvernement pour protéger davantage les internautes »

    Le doute m’habite : c’est l’action de Goujon et du gouvernement qui est censée protéger les internautes, ou bien l’acte de représailles ?

  • Aller à la page
  • 1
  • 2