Quand les hackers s'attaquent à vos mots de passes

Par 05 septembre 2008
Mots-clés : Smart city

Les internautes disséminent de plus en plus d'informations personnelles au fil de la Toile. Elles pourraient permettre aux cyber criminels de découvrir leurs mots de passe, et de pirater ainsi leurs comptes en banques et autres données confidentielles.

S'il vous arrive d'oublier un mot de passe, il vous suffit souvent de cliquer sur le lien "mot de passe oublié ?", et l'administrateur vous envoie alors un mail vous demandant le nom de jeune fille de votre mère ou encore le nom de votre chien. Un procédé facile et pratique pour l'utilisateur, mais qui pourrait également profiter aux hackers. C'est ce qu'a démontré Herbert Thompson, stratégiste chez People Security. Il rappelle qu'avec des sites comme MySpace et Facebook, ou encore l'explosion des blogs, les internautes révèlent de plus en plus de détails concernant leur vie privée. Des détails réutilisables par les surfeurs malintentionnés et qui peuvent y trouver des données susceptibles de leur donner accès à vos comptes bancaires par exemple. Pour prouver son idée, le stratégiste a demandé à des amis la permission de hacker leurs comptes. Pour ce faire, avec seulement le nom d'un ami et celui de son entreprise, il a d'abord réussi à retrouver son blog.
Des données personnelles pas si anodines
Là, il a glané tous types d'informations d'apparence anodine : écoles fréquentées, famille, etc. Ensuite il s'est rendu sur le site de la banque de son ami, où il a réussi à trouver rapidement son identifiant : nom.prénom. Il a alors demandé une réinitialisation du mot de passe, ce qui a envoyé un mail sur la boîte de son ami. Une boîte sur laquelle Thompson s'est rendu et a à nouveau demandé une initialisation de mot de passe. De fil en aiguille, il a réussi à hacker l'une de ses boîtes mail. Et à remonter jusqu'au compte bancaire en ayant seulement à répondre aux questions "quel est le deuxième prénom de votre père" ou "quel est le nom de votre école primaire". "Si pour l'instant nous n'avons pas d'exemple d'attaques informatiques basées sur ce système, nous avons plusieurs indices démontrant que les hackers s'y intéressent", indique Herbert Thompson au New Scientist. Comme le développement d'un marché noir sur le web, qui fournit des paquets d'informations personnelles récoltées en ligne, moyennant une somme de 15 dollars par lot. Un système qui permet aux hackers de détourner à moindres frais les systèmes de sécurité.
Manque d'imagination
Il semblerait par ailleurs que sur deux cent quinze questions utilisées par les administrateurs, seules soixante quinze s'avèrent réellement sûres. Les autres sont soit trop simples à deviner ou obtenir pour les hackers, soit trop compliquées à se remémorer pour les utilisateurs. Ariel Rabkin, chercheur à l'université de Berkeley, rappelle par ailleurs que ce type de système est souvent trop facile à déjouer pour les attaquants :"quand on sait que 1 % des chiens américains s'appellent Max, il devient aisé pour les hackers de deviner les réponses à donner pour forcer un compte en ligne". Un manque d'originalité dans les réponses qui pousse les chercheurs à envisager d'autres types de questions pour réinitialiser les mots de passe. "Plutôt que de se baser sur des réponses factuelles, on pourrait par exemple opter pour un système de préférence, sur les goûts des gens", avance-t-on à l'Université de Berkeley.

Mentions légales © L’Atelier BNP Paribas