Je ne peux plus accéder à mes mails.

 

Mes mails et mon carnet d’adresses ont disparu.

 

Je ne reçois plus mes mails.

 

Mes amis m’informent avoir eu un mail de ma part leur demandant de l’argent.

 

Je reçois des mails d’erreur « undelivered, return to sender » avec des adresses que je ne connais pas.

 

Ces phrases vous sont familières ?

 

Alors c'est que votre adresse mail a été piratée, votre mot de passe cassé, et que le pirate pris la main sur votre compte.

 

Il en a peut être détourné la réception, ajouté son propre carnet d’adresse ou pire encore, changé le mot de passe et les coordonnées de récupération.

 

La conduite à tenir a été décrite dans Le piratage de compte rédigé par @papou22

 

Comment a t’il fait pour vider mails, carnet d’adresses, et ajouter d’autres adresses me direz vous ?

 

La plupart du temps, c’est parce que vous utilisez le webmail/messagerie orange pour gérer vos mails depuis un navigateur internet.

 

Les dangers de cette méthode sont décrits dans Le Webmail est il dangereux rédigé par @PhilDur

 

Cet usage est souvent dicté par l’aspect (faussement) pratique des webmails et la méconnaissance des autres possibilités, pourtant plus sûres et infiniment plus pratiques.

 

Ce n’est cependant pas une spécificité orange, tous les FAI, mais aussi gmail, ou la poste proposent chacun leur webmail.

 

Et donc la priorité absolue après un piratage, c'est qu’il faut changer votre mot de passe, et surtout le choisir robuste.

 

Mais au fait, qu’est ce que vraiment le mot de passe, que permet-il, comment un pirate peut-il le casser, mais surtout, comment le rendre plus robuste ?

 

 

 

 

Un mot de passe pourquoi faire ?

 

 

Au quotidien, vous fermez la porte de votre logement, de votre voiture, box, casier au travail, avec une clé en espérant que la serrure soit suffisamment robuste pour vous protéger des intrusions.

 

Il en va de même dans votre vie numérique, accès aux mails, sites marchands, administrations, comptes clients.

 

Et comme dans la vie courante, vous devez faire en sorte que vos « clés » numériques soient suffisamment robustes pour éviter toute intrusions.

 

Ces « clés » numériques, ce sont vos mots de passe, seule barrière contre le pirate.

 

L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a édité des recommandations sur lesquelles je me base, disponibles sous format PDF dans la Note technique - sécurité relative aux mots de passe

 

La note traite des attaques sur les mots de passe, mais aussi de la méthode pour créer un mot de passe robuste.

 

 

 

 

Comment le pirate a t’il fait pour casser mon mot de passe ?

 

Les méthodes employées sont multiples :

 

- attaque par force brute : le pirate teste toutes les combinaisons

 

- attaque par dictionnaire : le pirate utilise des dictionnaires pour tester des mots connus. Attention, ne le prenez par pour un imbécile, il sait que le « E » se remplace par un « 3 », le « S » par un « 5 » etc. Pour « maison » il testera aussi «mai5on »,

 

- attaque par compromis temps/mémoire : plus technique, je ne vais pas m’étendre sur ce point,

 

- attaque indirecte : soit par un keylogger qui permet d'enregistrer les frappes au clavier, soit en faisant en sorte que vous lui fournissiez votre mot de passe.

 

 

Qui n’a jamais eu un mail frauduleux lui indiquant une activité douteuse sur son compte et demandant, via un lien, d’aller changer votre mot de passe ?

 

Qui n’a jamais reçu un mail, un pop-up, lui annonçant un gain de téléphone haut de gamme ?

 

Cette méthode, que ce soit pour récupérer vos coordonnées bancaires ou votre mot de passe, s'appelle de l’ingénierie sociale.

 

L’ingénierie sociale joue sur vos sentiments comme la peur, l'appât du gain voire même l'empathie, pour vous soutirer des informations personnelles.

 

Gardez également à l'esprit que si votre adresse mail est spammée de manière intensive, c’est qu'elle a été largement revendue sur le darknet, et qu'un pirate ne tardera pas à s’y attaquer.

 

La diffusion de votre adresse mail doit donc être maîtrisée au maximum, moins on la diffuse, moins elle à de risque d’être récupérée et donc attaquée.

 

N'oubliez pas que la présence des adresses mails sur le web est une source inépuisable pour les pirates.

 

Il peut également observer vos publications sur les réseaux sociaux pour réduire le champ de mots à tester, partant du principe que le mot de passe a un lien direct avec vous :

 

- nom de vos enfants/votre conjoint

 

- nom de votre animal

 

- ville de naissance/d’habitation

 

 

Pourquoi tester 1 milliard de mots quand quelques uns suffisent

 

 

 

 

Comment créer un mot de passe robuste ?

 

On constate qu'un grand nombre de mots de passe employés se limite malheureusement à :

 

- 123456, motdepasse, azerty, une date de naissance, toto

 

- le nom de son/ses enfant(s), de son animal

 

 

et on l’a vu, les pirates comptent là dessus.

 

 

Parler de mot de passe et de sécurité, c'est partir d'un principe simple et imagé, celui de « la brosse à dents » :

 

 

 

 

Soit donc, traite ton mot de passe comme ta brosse à dents :

 

- choisis en un bon

 

- change en régulièrement

 

- ne le partage pas

 

 

 

Choisis en un bon :

 

La règle de base pour un mot de passe, c’est qu’il doit être composé de :

 

- 12 caractères minimum

 

- un mélange de chiffres, lettres minuscules et majuscules, signes de ponctuation, caractères spéciaux

 

- jamais deux chiffres successifs

 

- pas d'accents, tildes ou cédilles (pensez à vos déplacements à l’étranger où les claviers ne sont pas les mêmes qu’en France)

 

Sachant que l'ANSSI considère qu'un mot de passe de 12 caractères sur un alphabet de 90 symboles est le minimum en local, mais insuffisant.

 

L'ANSSI propose d'ailleurs d'en tester la robustesse ici :

https://www.ssi.gouv.fr/administration/precautions-elementaires/calculer-la-force-dun-mot-de-passe/

 

Tout en gardant à l’esprit que le mot de passe ne doit pas avoir de lien social avec vous même (nom/prénom, dates clés de votre vie)

 

 

L’ANSSI propose deux méthodes :

 

1 - méthode phonétique : elle consiste à utiliser les sons de chaque syllabe pour fabriquer une phrase facile à retenir.

La phrase « J’ai acheté huit cd pour cent euros cet après midi » deviendra ght8CD%E7am

 

2 - méthode des premières lettres : elle consiste à garder les premières lettres d’une phrase (citation, paroles de chanson) en veillant à ne pas utiliser que des minuscules.

La citation « un tiens vaut mieux que deux tu l’auras » donnera 1tvmQ2tl’A.

 

Un mot de passe, doit également pouvoir être retenu, trop complexe, vous ne vous en souviendrez pas.

 

 

 

Change en souvent :

 

un mot de passe a une durée de vie qu’il faut gérer.

 

Au delà de 2 ans, il n'a plus aucune robustesse, et en changer tous les mois/trimestres peut être trop contraignant.

 

Un bon compromis se situe entre 6 mois et 1 an.

 

Attention à ne pas « indexer » votre mot de passe à chaque changement en l’incrémentant d’un chiffre ou la date de modification. On ne crée pas un mot de passe 1, la fois suivant un mot de passe 2, pas plus que l’on réutilise ses 3 derniers mots de passe.

 

 

 

Ne le partage pas :

 

on ne communique son mot de passe à personne, pas même pour rendre service à un membre de sa famille ou un ami.

 

Non qu’il puisse être malveillant, mais il peut lui aussi être attaqué.

 

 

 

 

Le couple adresse mail/mot de passe.

 

Ici nous abordons la problématique de la réutilisation des mots de passe.

 

Une fois que le pirate a cassé votre mot de passe, il va tester les sites classiques (réseaux sociaux, sites marchands) avec votre couple adresse mail/mot de passe sachant qu'il est probable que vous utilisiez le même partout, et continuer à faire des dégâts.

 

Ainsi, un couple adresse/mot de passe cassé par le pirate va avoir des conséquences sur autant de comptes/sites sur lesquels vous l’utilisez.

 

Un mot de passe étant associé à une adresse, son utilisation doit être réduite et/ou ciblée, et donc il faut un mot de passe par site/compte.

 

Vous n’imaginez pas avoir une clé unique pour votre logement, votre voiture, votre box.

 

Non ?

 

Pour vos mots de passe, c'est la même chose

 

Il faut donc séparer les usages et créer a minima 4 comptes de messagerie :

 

- le compte principal orange : il ne doit servir que pour la relation avec orange

 

- un compte secondaire « administratif »

 

- un compte secondaire « social » : pour les amis et les réseaux sociaux

 

- un compte secondaire pour les sites marchands

 

- un compte « poubelle » : pratique quand vous devez vous inscrire sur un site sur lequel vous n’irez peut être plus jamais. Si ce compte est spammé, on le supprime.

 

 

Cela vous paraît peut être contraignant, mais avec un client mail c’est extrêmement simple, puisque le logiciel affiche chaque adresse séparément et vous savez à tout moment quelle adresse a reçu du courrier et de quel type.

 

Et si vous recevez un courrier émanant soit disant de orange sur le compte social par exemple, une alarme doit retentir dans votre tête, il est frauduleux.

 

A titre personnel, j’ai 4 adresses orange, 2 laposte et 2 gmail que je gère avec le même outil, partageant le même carnet d’adresses, en parfaite sécurité sur mon PC, et que je peux sauvegarder à tout moment.

 

 

 

 

Conclusion.

 

Personne n’est à l’abri, et il n’y aucune protection absolue, mais en appliquant ces conseils simples, vous contribuez à réduire considérablement les risques.

 

Quoi que vous fassiez, n'oubliez pas que le dernier rempart en terme de sécurité, c’est celui qui est situé entre votre chaise et votre clavier, vous.

 

Restez vigilants, réfléchissez avant de cliquer, pas l’inverse.

 

Si ça ressemble à un canard, que ça se dandine comme un canard, alors c’est probablement un canard.

 

Un faux positif est toujours préférable à un mauvais clic et une intrusion sur son compte qui peut avoir de sérieuses conséquences, mails perdus, détournés, hameçonnage ou pire, vol d’identité.