La semaine dernière twitter a été la cible d'un pirate français d'une vingtaine d'année "Hacker Croll (HC)". Je reviens sur cette attaque car elle démontre bien qu'il n'est pas utile d'avoir de grosses compétences en informatique pour parvenir à voler des documents hautement confidentiels (salaires des employés, projets secrets, partenariats, etc.)
Pour parvenir à ses fins, HC a choisi l'axe du "facteur humain", partant du constat que nous, les hommes, sommes par nature un peu paresseux. Cette paresse se retrouve dans la création de nos mots de passe, qui dans 95% des cas sont les mêmes pour tous nos accès protégés.
HC décida donc de trouver le mot de passe d'un membre du personnel de twitter, pour ensuite pénétrer dans l'antre de la société.
Voici sa méthodologie :
1) Il cibla les employés qui avaient des adresses Gmail. Il utilisa la fonctionnalité "j'ai oublié mon mot de passe" qui renvoi systématiquement le mot de passe à l'adresse e-mail qui a servi à ouvrir le compte. Il renouvela ses essais jusqu'à ce qu'il obtienne la réponse "impossible de renvoyer le mot de passe à votre ancienne adresse, car elle n'existe plus". Sachant qu'avant Gmail, c'est Hotmail qui avait la côte, il y avait de grandes chances que l'ancienne adresse était de la forme *****@hotmail.com. Or Hotmail recycle l'adresse si l'internaute n'en fait pas usage pendant un certain temps.
Hacker Croll put donc re-créer un compte sur Hotmail partant du principe que l'employé de twitter avait prit la même logique nom@hotmail.com <=> nom@gmail.com.
Bingo ! Il put se faire renvoyer le mot de passe Gmail sur l'adresse Hotmail.
2) La porte était grande ouverte, Gmail offrant un espace de stockage gigantesque, et une grande efficacité dans la recherche et le classement des messages, l'employé twitter gardait l'historique de toutes ses conversations. HC n'avait plus qu'à lire tous les mails à la recherche d'informations précieuses.
3) Il comprit très rapidement que chez twitter on utilise les Google Apps, il put donc s'authentifier sur ce système et récupérer une multitude de fichiers.
4) Il découvrit également que cet employé twitter était l'un de ces internautes qui utilisent le même mot de passe pour tous ses accès. Il put donc se connecter à ses comptes bancaires, téléphoniques, MobileMe, iTunes, etc.
Le plus fort dans cette histoire est que personne chez twitter ne pouvait soupçonner la moindre intrusion puisque le hacker espionnait tout, avec une identité parfaitement reconnue.
Hacker Croll fit ce piratage dans un but non lucratif, envoyant simplement des documents confidentiels au célèbre site Techcrunch pour prouver sa réussite.
HC fit également passer un message (en français) d'excuses et de recommandations. Il précisa en outre qu'il souhaite faire de la sécurité son métier...
Je vous laisse tirer les conclusions et ... changez vos mots de passe !
No comments:
Post a Comment