Un mot de passe vaut mieux que deux tu l’auras
Par Nora
Herbert H. Thompson (aucun lien, fils unique) est un développeur très curieux qui a décidé un jour de mener une petite expérience amusante et flippante à la fois intitulée “How I Stole Someone’s Identity” : intrigué par la quantité d’infos personnelles que dévoilent les gens sur le Net, il s’est demandé s’il était si difficile que ça d’usurper l’identité de quelqu’un en accédant à ses différents comptes virtuels. Pour ce faire, il a décidé de s’attaquer spécifiquement aux comptes bancaires d’une connaissance (consentante). Même pas une amie, une simple connaissance dont il ne savait finalement que très peu. Elle lui a simplement donné l’identifiant qu’elle utilisait pour accéder à ses comptes bancaires online (un simple prénom.nom), à lui de jouer pour s’y introduire.
Il raconte alors les (7) différentes étapes de sa quête pour trouver les 2 mots de passe de 2 boîtes mail différentes, afin de réinitialiser LE mot de passe lui permettant d’accéder aux comptes bancaires. Et c’en est flippant de facilité : les questions posées lorsqu’on a perdu son mot de passe sont toujours les mêmes : du plus simple comme la date de naissance, le code postal, au un peu moins simple mais néanmoins trouvable nom de jeune fille de maman, du premier animal de compagnie, deuxième prénom de papa, couleur de votre housse de couette, boisson préférée etc.
Le pire c’est qu’il n’a pas eu à jouer les détectives privés, ni à passer 15 coups de fil; il a trouvé toutes les informations nécéssaires sur le CV et le blog personnel de la “victime”. Comme le fait remarquer très justement Thompson, il ne faut pas oublier que toutes les données que l’on rend disponible online à notre sujet disparaissent rarement totalement du Web. Sa conclusion : Think first, post later.
J’ai créé récemment un nouveau compte gmail et les questions étaient plutôt originales pour une fois (ça doit être le google power) :
- quel est le numéro de votre carte de bibliothèque ?
- quel était votre premier numéro de telephone ?
- comment s’appelait votre instituteur/institutrice au CP ?
ça casse pas trois pattes à un canard non plus mais ça change.
Il ne reste plus qu’à donner de fausses réponses aux questions posées pour récupérer son mot de passe oublié.
Et s’en souvenir. Diantre.
alors ça j’ai testé et je suis devenue folle à chercher pendant une heure la connerie que j’avais bien pu marquer..
OH PUTAIN … je viens d’essayer la même méthode avec nora et son blog et … hé hé hé c’est trop fort.
c’est fou l’Internet hein
C’était vraimen trés intéressant…
Ca c’est les chocapic pour le p’tit déjeuner et là j’ai 12km de chaine pour que le chien puisse se promener! Bon faut qu’j'vous laisse j’dois voir mon psy, je sais pas ce qu’il a en ce moment il veut me voir tte les 1/2h!
On appelle cela du social engineering et c’est de loin la technique de piratage (dans le sens large du terme) la plus efficace !
La plus efficace, car elle s’attaque au maillon faible de la chaine sécuritaire des réseaux informatiques : le truc situé entre la souris et la chaise :]
J’ai jamais bien compris ces sites qui obligeait à choisir une qestion personnel…
J’ai pas d’Alzheimer, je me souviens encore des mes premiers mots de passe sur le net (1998). Donc pourquoi ne pas me laisser le choix d’une sécurité supérieure?
Et puis même si on peut difficilement imaginer que rien n’est protégé à 100%, on peut gagner quelques points en choissant une question un peu tordue, en tout cas un peu plus que des informations telles que les deuxièmes noms qui sont assez facilement trouvables si on le veut bien.
Ma banque n’envoie les codes secrets que par courrier: 72h de délai, et il faut voler l’enveloppe…
Je connais des banques qui font le changement d’adresse rien qu’avec le numéro de compte, alors bon…
lol c’est quand même pas nouveau tout ca ^^ au collège ( ca remonte donc à une dizaine d’année) tout le monde se “piratait” les adresses msn via la question secrète. je pense que dans mon entourage on a tous une réponse secrète qui se résume à ca “fioezjfoeizjfioezjf” maintenant ^^
Je bénierai la personne capable de dénicher mon mot de passe sur Monster!
Cet imbécile de site n’envoie jamais de confirmation du mot de passe, et donc je l’oublie systématiquement, il faut que j’en crée un nouveau à chaque fois que je veux me connecter.
La meilleure solution : un stylo, et un post-it sous le clavier…