Cette mésaventure, ce n’est pas à moi qu’elle est arrivée, mais à un de mes contact dont je ne dévoilerai pas l’identité… L’histoire peut sembler tout à fait banale, mais les conséquences peuvent être désastreuses. Laissez-moi vous raconter une histoire, imaginée d’après les éléments que j’ai pu rassembler, du point de vue de la victime et de celui du pirate…
Un simple clic…
Imagine: un soir de désœuvrement, tu fais glisser paresseusement ton fil d’actualité Instagram sans trop y prêter attention, quand tout à coup un message attire ton regard. « Wow, c’est vraiment toi sur cette photo?!!??! » proclame le message, assaisonné de quelques émojis accentuant encore l’interrogation et la surprise suggérée par l’abondance de points d’exclamation. Cela t’intrigue, évidemment: quelle éventuelle photo de toi pourrait susciter une telle réaction? Tu passes en revue tes dernières frasques, espérant qu’aucune action compromettante n’ait été immortalisée par une photo publiée sur le web. Alors bien sûr tu cliques sur le lien, tu t’identifies, et tu peux enfin ouvrir la photo en question. Et là tu es soulagé, la photo n’a rien à voir avec toi, il s’agissait juste d’une blague de mauvais goût, tu pousses un ouf de soulagement, tu oublies ça et et tu reprends le cours de ta vie. Ce n’est que quelques jours plus tard que tu te rends compte que tu n’as plus accès à ton compte 🙁
Pendant ce temps…
Imagine: tu es un pirate. Pas celui des films, celui qui se bat pour une cause, un idéal, en tapant 300 mots à la seconde sur un terminal vert et noir, non, un pirate d’aujourd’hui, qui tire son revenu de l’exploitation des parties les plus faibles des systèmes informatiques: les utilisateurs.
Tu sais comment fonctionnent les gens, tu maîtrise l’art de ce qu’on appelle « ingénierie sociale »: tu sais les mots à utiliser, la forme à donner à tes messages pour susciter l’envie de cliquer, jouer sur les sentiments de peur, d’urgence, de curiosité. Une de tes meilleurs trouvailles, c’est ton « Wow, c’est vraiment toi sur cette photo?!!??! », avec ses points d’exclamation et ses émojis. Il marche tellement souvent que c’en est presque trop facile.
Tu sais programmer, développer des sites. Tu as développé un petit site qui imite Instagram à la perfection. Lorsque ta victime clique sur le lien de ton message, elle se voit présenter un écran d’identification qui ressemble à s’y méprendre au vrai formulaire, elle rentre sans y penser son login et son mot de passe. Mais derrière ton site, c’est toute une machinerie qui se met en place: le login et le mot de passe sont enregistrés, et tu vas pouvoir les exploiter à loisir…
Justement, voilà qu’une victime vient de tomber dans ton piège. Une alerte sur ton écran te signale qu’une paire de login/password toute fraîche vient d’être capturée. Il faut agir vite, afin de s’approprier le compte avant que ta victime n’aie pas le temps de réagir. Rien de compliqué: tu te connectes avec les identifiants volés et tu changes immédiatement le mot de passe et l’adresse mail. Tu es maintenant le seul à avoir accès au compte volé, tu peux même éjecter la victime. Tu as gagné un compte Instagram! Mais ce n’est pas tout…
Non, ce n’est pas tout, parce que toi tu es là pour gagner de l’argent. Bien sûr, tu finiras par revendre le compte Instagram sur le darkweb, tu sais que ces comptes volés, les données qu’ils contiennent, les contacts, tout cela s’achète et se vend. Mais d’abord tu veux voir ce que tu peux toi-même en retirer…
Tu connais la nature humaine, tu sais que l’humain est paresseux par nature, et qu’il y a de fortes chances que le mot de passe que tu as volé ait été utilisé par ta victime sur d’autres application. Alors tu essaies, sur les comptes email, twitter, facebook etc. Et si d’aventure le mot de passe te donne accès au compte email, jackpot! En effet, tu pourras alors récupérer le mot de passe de n’importe quel compte lié: tu utilises la fonctionnalité de récupération de mot de passe, et du coup tu récupères le lien de réinitialisation du mot de passe sur le compte email piraté… A toi l’accès au compte Paypal que tu pourras dépouiller, à toi l’accès au compte Amazon avec lequel tu pourras te commander quelques cadeaux offerts par la victime…
Et puis, ce compte Instagram volé, tu peux l’utiliser pour lancer d’autres attaques vers les contacts de ta victime. Parce que tu sais bien que ton fameux « Wow, c’est vraiment toi sur cette photo?!!??! » marche encore mieux quand il semble venir d’un contact connu.
Maintenant, c’est le moment de passer à la deuxième phase de l’attaque, celle qui va te faire gagner le plus d’argent. La fameuse arnaque « j’ai-perdu-l’accès-à-mon-téléphone-peux-tu-appeler-ce-numéro-pour-me-donner-le-code-de-déverrouillage ». Le principe, de nouveau, est très simple: en te faisant passer pour la victime, tu contactes un de ses proches en lui demandant de l’aide: ton téléphone est verrouillé, il te faut un code de déverrouillage qu’il faut obtenir en appelant un certain numéro de téléphone. Et comme le tien est verrouillé tu demandes de l’aide. Bien sûr, tu passes sous silence le fait que le numéro est épouvantablement surtaxé, et que cette surtaxe ira en grande partie dans ta poche. Ceci est beaucoup plus lucratif que la simple vente du compte.
Et le meilleur dans tout cela, c’est que tout cela ne te demande quasi pas d’effort. Comme tu es doué en informatique, tu as programmé tout cela dans une série de scripts, capable de tester des centaines de comptes différents en quelques secondes, capable d’envoyer des centaines de messages privés en un temps record, même capable de gérer un semblant de conversation en MP avant que tu ne prennes le relais. Bien sûr, tu sais que la probabilité qu’une victime tombe dans le piège est faible, mais comme tes scripts envoient une énorme quantité de messages, même cette faible quantité de victimes te permet de t’assurer un bon petit pactole…
Morale de l’histoire
L’histoire du pirate, même si elle est seulement basée sur mes suppositions, est basée sur des techniques réelles, et des outils réels que l’on peut trouver assez facilement. Et la réalité est encore plus effrayante, il n’est même pas nécessaire de savoir (beaucoup) programmer pour utiliser ces outils. en quelques clics, on peut créer une fausse page de login, on peut envoyer des paires de login/passwords à une centaine de sites et applications pour trouver les autres endroits où ils sont utilisés, on peut lancer une attaque par message privé sur des milliers de comptes.
Les solutions pour ce protéger de ce genre d’attaques ne passent pas par l’installation d’outils complexe. Les pièges permettant de capturer les identifiants sont de plus en plus efficaces, et la véritable protection passe par un changement fondamental de comportement:
- Ne cliquez pas sur n’importe quoi. Réfléchissez avant de cliquer: est-ce que le message est crédible? est-ce que le style du message ressemble à ce que mon contact m’envoie habituellement?
- N’entrez pas vos identifiants n’importe où. Demandez-vous s’il est normale de devoir entrer vos identifiants. Il ne suffit pas que le formulaire ressemble au formulaire de login habituel pour être légitime…
- Ne réutilisez pas vos mots de passe, ainsi si un mot de passe est corrompu vos autres comptes sont en sécurité
- Prévenez rapidement vos contacts si votre compte est piraté, car ils risque de recevoir eux-même des messages piégés de votre part.