Le Monde raconte de quelle façon il s’est fait « piraté » son compte Twitter.
C’est intéressant comme dé-mystification de l’image du pirate. On y voit que les attaquants :
- cherchent à provoquer l’erreur humaine en envoyant des faux mails (n’importe qui peut choisir le nom et l’adresse de l’émetteur des mails qu’il envoie) qui contiennent un lien vers une page web imitant l’interface d’administration des sites qu’elle connaît (LeMonde, Facebook, Gmail, etc…) dans le but de lui soutirer son mot de passe. Et ça marche !
- volent le compte en parvenant à répondre à la fameuse « question personnelle » qui permet de récupérer son compte ou son mot de passe sur la majorité des services en ligne comme Gmail, Facebook ou Twitter.
Il n’y a donc point d’exploit informatique ici, juste une méconnaissance des usagers vis à vis des bonnes pratiques:
- Ayez un ordinateur non compromis (pas de virus, pas de cheval de Troie). Ceux qui ont compris ça utilisent uniquement des logiciels de confiance (pas de crack qui vient de n’importe où, pas de logiciel gratuits à publicités qui viennent t’espionner). Le mieux est d’utiliser uniquement des logiciels libres compilés par une tierce personne de confiance. Ça diminue encore les risques.
- Vérifier toujours l’adresse de la page web sur laquelle vous êtes quand vous rentrez un mot de passe. C’est la seule garantie que vous envoyez le mot de passe au bon site. Ne vous fiez pas à la charte graphique. Vérifiez également que le cadenas SSL est présent.
- Hébergez vos services vous même, comme ca pas besoin de « question personnelle » pour récupérer votre compte puisque vous avez accès à la machine pour modifier le mot de passe si besoin :-)
- ou activez la double authentification (il faut une confirmation depuis votre smartphone pour changer le mot de passe du compte) et donnez une « question vraiment très personnelle » pour récupérer votre compte que ni un recherche Google ni votre plus proche ami, mère ou copain ne pourrait trouver. Sinon cette question devient une porte d’entrée plutôt qu’une sécurité.
Malheureusement parfois, même le cadenas SSL/TLS ne suffit pas … https://www.eff.org/deeplinks/2011/08/iranian-man-middle-attack-against-google
Il faut aussi vérifier le fingerprint du certificat. Certains add-ons firefox le font de manière automatique (certificate patrol) en comparant avec les fingerprints récupérés auparavant (trust on first use). Aussi, il peut être intéressant de demander en cas de doute, la fingerprint du même certificat du site web visité à d’autres personnes de confiance dans d’autres pays. Ainsi on réduit la probabilité d’un Man In The Middle.
Oui mais Google ayant derrière le même nom de domaine une grappe de serveurs avec des certificats différents (même si authentiques), le pinning de certificats pose problème en pratique.
Pour les autres sites, je suis d’accord sur la solution que tu proposes.
Une autre bonne pratique consiste à ne pas étaler sa vie sur internet via les réseaux sociaux ou un blog personnel, afin d’éviter que les script kiddies ne récoltent trop d’informations sur leurs cibles. Un mot de passe ou une réponse à une question secrète, même simples, ne se devinent pas sans effectuer quelques recherches au préalable.
En ayant assez d’informations pour être crédibles quand ils usurpent l’identité d’une connaissance, il leur est facile de mettre les gens en confiance pour les diriger vers une page de phishing quand ces derniers ne se méfient plus…