Piraté ! On va déballer tout à ton réseau, dans les 48h !!!

Clients malmenés: On vous avait dit, mot de passe trop simple !

Pascal Kotté
Sep 19, 2018 · 16 min read

Version très courte: ici :-)

Voici le message type, reçu par un de nos clients:

Visiblement un message “traduit” par électronique, mais ils ciblent désormais les francophones, même s’ils ne parlent vraiment pas (bien) le français !

Bonjour!

Comme vous pouvez l’imaginer, votre compte email.compromis@mon-domaine.ch a été piraté, depuis que j’ai écrit ce message de sa part. :(

Je représente un groupe international de pirates informatiques bien connu.
Du 23.07.2018 au 15.09.2018, vous avez été infecté par un virus que nous avons créé via le site Web pour adultes que vous avez visité.
Pour le moment, nous avons accès à tous vos correspondance, réseaux sociaux et services de messagerie.
De plus, nous avons des décharges complètes de ces informations.

Nous sommes conscients de vos « petits et grands secrets », oui, oui… Vous avez toute une vie secrète. Nous avons vu et enregistré comment vous vous êtes amusé sur des sites Web pour adultes. Dieu, quel goût et quelle souffrance avez-vous … :)

Mais la chose la plus intéressante est que nous vous avons inclus régulièrement sur la webcam de votre appareil. La webcam a été synchronisée avec ce que vous venez de voir!
Je pense que vous ne voulez pas que vos amis et votre famille voient tous vos secrets et, bien sûr, la personne la plus proche de vous.

Transférez $300 vers notre monnaie crypto Bitcoin Wallet:
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Je vous garantis que nous effacerons alors tous vos secrets!

A partir du moment où cette lettre est lue, la minuterie fonctionne!
Vous avez 48 heures pour payer le montant susmentionné.

Une fois que l’argent est dans notre compte, vos données seront immédiatement détruites! Si l’argent n’arrive pas, toute votre correspondance et vidéo que nous recevons seront automatiquement envoyées à tous les contacts disponibles sur votre appareil au moment de l’infection!

Malheureusement, vous devez penser à votre sécurité!
Nous espérons que cette histoire vous apprendra à garder vos secrets corrects!
Prenez soin de vous!

Certains messages vont même afficher en clair ton mot de passe !

Certains messages annoncent avoir fait le montage en simultané, pendant que vous étiez en train de visionner des trucs ‘sales’, et propose de le diffuser à tous vos contacts. Brillants ces cybercriminels (N’utilisez pas les mots ‘pirate’ ou ‘hacker’, qui ne sont pas nécessairement associés à des ‘méchants’ !)

Voir aussi le message sur Infomaniak:

https://rtsww-a-d.rts.ch/la-1ere/programmes/on-en-parle/2018/on-en-parle_20180925_standard_sequence-1_7c72e122-7a58-4643-bd78-f08118d52f35-128k.mp3?mediaId=9858503 (Merci Michael)

Est-ce vrai ?

Non à 99% ! Ou partiellement. Quelle confiance pouvez-vous accorder aux propos d’un cybercriminel, pro ou amateur ? Mais c’est partiellement vrai, car par contre, le compte email est compromis, ce qui est bien plus facile que de contrôler tout le PC. Cela dépend si vous avez affaire à un Phisher, hameçonneur en français (intimidation et faux messages, espèce très répandue), ou un vrai Cybercriminel (plus rares, heureusement, mais bon, comme on manque aussi de cyber-guerriers défenseurs, c’est trop…).

Mais le plus souvent, c’est le compte ‘IMAP’ qui est compromis, et non votre gmail (si vous avez bien activé la double identification), ni votre Workspace Infomaniak ou Swisscom ou autre (à condition de ne pas avoir mis le même…), qu’il faut aussi protéger avec 2 facteurs, idem avec Facebook et LinkedIn…

Ce que nous avons fait, et que vous devez immédiatement faire.

Changer le mot de passe du compte email associé: Nous parlons du mot de passe SMTP/IMAP, et non du mot de passe de l’environnement web éventuel (infomaniak workspace ou Bluewin Swisscom ID par exemple). Si c’est le même, changer les deux, et mettez deux différents, et activer la double identification.

Activez 2FA, je me tue à le répéter !

8 lettres minuscules, ou même un mélange de lettres (majuscules) et chiffres: Ce n’est pas assez complexe. Les Botnets sont capables de traiter massivement de grands nombres de possibilités.

Si le cybercriminel a lui-même modifié le mot de passe, il faut procéder à un reset de ce mot de passe. Mais à priori, surtout s’il ne l’a pas déjà fait, c’est qu’il ne peut pas le faire. Il peut lire, temporairement. Mais dès que le mot de passe sera modifié, c’est fini, il a perdu. Sa chance, c’est votre ignorance (qui est normale, ce n’est pas votre métier ou votre passion…), et que finalement peu de gens savent changer leur mot de passe email :(

D’où mon combat au profit de la mise à disposition d’apprentissages à la culture numérique pour tous ! Et pas seulement pour les jeunes. (www.intergen.ch)

L’activation du double facteur pour accéder à votre Gmail, Outlook.com, Workspace infomaniak, Bluewin Swisscom ID, Facebook, Twitter et LinkedIn, sont une nécessaire précaution, mais cela n’empêchera pas ce piratage, car le mot de passe de vos mailbox (SMTP/IMAP) est ‘figé’ et ne permet pas la double identification. D’où l’intérêt qu’il soit “long et complexe” et différent de votre accès via le web, et de le changer une fois par an. Souvent, le fournisseur va détecter un mot de passe identique, et l’interdire. Ce n’est pas pour vous embêter qu’il fait cela, c’est pour vous protéger de vous-même, contre les bots!

Checkup

Examen de l’en-tête du message

Nous ne pouvons pas contrôler un email qui nous a été simplement “retransmis” (forward), il nous faut le fichier binaire d’origine du message reçu. Sur un Macintosh, on peut faire un nouveau message, et faire un drag&drop du message criminel dans le nouveau message à notre intention (info@ict-a.ch). Sur les autres clients, il faut parfois aller dans les options ou afficher les détails du message pour récupérer son en-tête:

Return-Path: <email.compromis@mon-domaine.ch>
Received: from mta-gw3.infomaniak.ch (mta-gw3.infomaniak.ch [83.166.132.51])
by mda243.infomaniak.ch (8.14.5/8.14.5) with ESMTP id w8ICYGbl028841
for <email.compromis@mon-domaine.ch>; Tue, 18 Sep 2018 14:34:16 +0200
Received: from [201.222.74.8] ([201.222.74.8])
by mta-gw3.infomaniak.ch (8.14.5/8.14.5) with ESMTP id w8ICYELv073602
for <email.compromis@mon-domaine.ch>; Tue, 18 Sep 2018 14:34:15 +0200
Message-ID: <F673038D6986FDE762129C7897ECF673@mon-domaine.ch>
From: <email.compromis@mon-domaine.ch>
To: <email.compromis@mon-domaine.ch>
Subject: =?utf-8?B?Vm90cmUgdmllIHNlY3LDqHRl?=
Date: 18 Sep 2018 02:59:12 -0500
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary=” — — — — -4852875257194760"
X-Mailer: Kdjqvs ryrre 6.4
X-Greylist: IP, sender and recipient auto-whitelisted, not delayed by milter-greylist-4.2.7 (mta-gw3.infomaniak.ch [83.166.132.48]); Tue, 18 Sep 2018 14:34:16 +0200 (CEST)
X-Antivirus: Dr.Web (R) for Unix mail servers drweb plugin ver.6.0.2.8
X-Antivirus-Code: 0x100000
X-Infomaniak-Spam: spam
X-Spam-Score: 500

Bon et bien ce n’est pas du Spoofing (envoyer un faux email, se faisant passer pour un émetteur, qui n’est pas le réel émetteur). Le mot de passe est effectivement bien connu par le cybercriminel.

S’il est déclaré compromis, change le mot de passe. Sinon, cela ne veut pas dire qu’il n’est pas déjà compromis quand même. S’il est simple et n’a pas changé depuis longtemps, il est grand temps de le changer !

Maintenant !

Ce qui s’est passé !

Le mot de passe d‘accès à l’email a été compromis, comment ?

Il existe deux façons de ‘craquer’ un mot de passe :

  1. L’extorsion: Pas nécessairement par la torture, mais avec un bon ‘phishing’ en te le demandant et te laissant croire que c’est normal, ou par interception, avec un ‘key-logger’ sur ton ordinateur. Mais cela nécessite le contrôle de ton ordinateur, ce qui est possible, mais moins probable. Sauf si tu as cru à l’appel de Microsoft pour nettoyer ton PC récemment, et que tu les as laissé faireCe n’était pas Microsoft ! Tu éteins ton PC, et nous l’amène.
  2. L’exploration: On va tenter de deviner, et essayer, et essayer, encore… De nos jours, ce n’est plus un humain mais un automate qui fait cela. On appelle cela un Bot. Et les vrais pirates, ils montent des Botnet, des réseaux d’ordinateurs zombifiés. Ils sont utilisés pour pirater les autres ordinateurs, ou les comptes IMAP… Si ton PC est contrôlé par un Botnet, alors, tu peux changer ton mot de passe, il sera rapidement connu (cas 1 précédent). Si c’est le cas, tu éteins ton ordinateur, et nous l’amène.

Il existe en réalité une troisième méthode, c’est celle de ne pas avoir besoin de le craquer, par détournement ou par exploitation d’une faille, je récupère un accès sans devoir fournir ce mot de passe.

Merci au ‘Patriot act’ !-(

Alors certes, du coup, les Windows Updates imposés vont combler les “failles” devenues trop reconnues, et probablement en ouvrir d’autres…

Un cercle infernal

Et celui qui m’a écrit cet email alors ?

Mais il n’empêche que celui qui prétend avoir pris le contrôle de ton PC, sans même pouvoir changer ton mot de passe, il n’est pas de la NSA ! Il n’a très certainement pas eu accès à ta caméra, et il ne sait pas si tu es allé ou pas, sur un site X…

Le plus probable, une exploration par Botnet

Comme le mot de passe ‘IMAP’ est fixe, et ne supporte pas le 2FA, il est “devinable”. L’indexation des profils publics des personnes (email) génère des dictionnaires sémantiques probabilistes, et des milliers d’ordinateurs vont tester toutes les combinaisons sur multiples mailbox. Si le mot de passe est réduit et simple, la durée de compromission sera courte. Une fois que le mot de passe est deviné, l’email est ajouté dans une liste d’email compromis, vendue sur le Darkweb.

Une nouvelle méthode de chantage !

L’intrusion dans le système de messagerie permettait à un cybercriminel de prendre le contrôle à la fois des messages et parfois des contacts (avec un Gmail mal protégé). Alors il patientait le départ en vacance (lisant les courriels l’annonçant…). Il profite alors d’écrire à tes contacts proches (Voiture volée, envoyer de l’argent Western Union… Un grand classique, bien connu). Et donc, ne pas sécuriser correctement son email, mettait en risque d’escroquerie, son propre réseau de proches.

Innovation: Cette fois, c’est le détenteur de l’email compromis qui est la cible, afin de le faire “chanter” !

Des images de “sites pour adultes” ?

“Je vais publier à tout ton réseau des vidéos/images de toi en train de regarder des images pornos !”

Mon client pensait à un de ses propres ados imprudents qui aurait visionné des trucs salaces… A priori, 50% des hommes en regarde, des femmes aussi, mais bien moins (ah ce 4ème cerveau, celui sous la ceinture, qui nous manipule, terrible parfois…:)

Mais très très probablement, il n’a jamais craqué ta machine, et il n’accède qu’à ta mailbox, et c’est tout !

En plus, il ne peut même pas changer ton mot de passe…

Les risques

Peut-il le faire ?

Oui, si tu ne changes pas le mot de passe de suite avant qu’il le fasse, il pourra envoyer des emails à tes contacts, ou du moins, ceux qu’il aura récupéré.

Si tu as changé ton mot de passe, c’est fini (sauf exceptions). Il ne peut plus rien faire, même s’il voulait te convaincre du contraire !

Puisque ton compte a été piraté, mes contacts aussi ?

Pas nécessairement. Si tu utilises un client de messagerie localement sur ton poste, ou ton mobile, et que tes contacts sont indépendants de la boîte email, alors il n’a accès qu’à l’historique des derniers messages envoyées, et il peut en récupérer les destinataires. Si c’est Gmail qui est compromis, et tu as omis d’activer la double identification, c’est trop tard. Il a extrait tout tes contacts.

J’ai changé le mot de passe, peut-il encore me discréditer sur mon réseau ?

Peut-être: Il peut émettre à tes contacts qu’il aura récupéré, via un autre email que le tien. Mais c’est peu probable.

Va-t-il le faire ?

Pour le moment, je n’ai pas entendu de qui que ce soit avoir subit cet inconvénient, et sans avoir payé… Mais ceux qui ont payé, ne se sont pas vantés. Je ne doute pas qu’un des criminels procédera à un arrosage un jour et de préférence en ciblant une personne connue pour obtenir un Buzz social, afin d’alimenter un peu les peurs !

Je fais quoi s’il envoie des trucs sales à mon réseau, en mon nom ?

Bon d’abord, si tu as bien changé ton mot de passe, il ne peut plus le faire !

Si lui a changé ton mot de passe, et a conservé le contrôle de ta mailbox, tu es censé avoir lancé un process de “reset” d’un nouveau mot de passe, et donc, il est “marron” pareil !

Mais bon, s’il a tes contacts, il peut envoyer des vidéos montées, de toi en train de regarder des images salaces. Et alors ?

C’est un montage !

Même si c’est vrai, tu peux dire que c’est faux !

Il est nécessaire de faire le montage de 2 prises d’images, de face, et une capture d’écran…

Mais tout le monde peut le faire !

Pour dénigrer une personne, il y a plus efficace que cela, et en embauchant des “petites mains” dans le Darkweb, une campagne de dénigrement et de sabotage de réputation, et calomnies éhontées: C’est entre 500 et 5'000 $ envers des “non-personnalités”. Pour des personnalités, c’est plus cher !

Ma réputation, le monde saura que je protège mal mes emails

Mais tout le monde s’en fou !

Certes, si tu es fiduciaire, ou notaire, ou avocat, ou policier, ou un truc de ce genre, (journaliste ou politicien?) : Cela fait mal !

Alors si cela arrive, ne va surtout pas planifier d’arroser à ton tour tout ton réseau pour t’expliquer ou t’excuser ! Une grosse erreur à ne pas commettre !

Evidemment que les gens vont comprendre que “l’autre crétin” (toi) s’est fait piraté son compte email ! Tout le monde a reçu un truc d’une personne qui s’est fait piraté, email, skype, facebook ou autres…

Et si quelqu’un se moque de toi, garde sous le coude l’épisode de https://fr.wikipedia.org/wiki/John_O._Brennan

Prend-le avec humour et désinvolture, tu t’es fait piraté, c’est presque une marque de reconnaissance de ton importance !

Allez, souris à ta webcam, tu es peut-être filmé !

Et si tu y colles un post’it, attention à tes paroles !

Ce qui doit impérativement être fait !

Vous utilisez ce même mot passe à d’autres endroits ?

Surtout si ton environnement Webmail ou Workspace utilise le même mot de passe que celui qui a été compromis, ou bien si d’autres sites utilisent le même mot de passe, et bien il va falloir aller les changer, tous, et vite !

2FA !

Je me répète, cela n’est pas une option, pour tout le monde ! Pas seulement les “stars”. Il faut activer la double identification pour GMail, Facebook, LinkedIn, et l’accès au Workspace d’infomaniak ou de Swisscom, ou d’autres… En fait, dès que c’est disponible, il faut l’activer.

Mais pour IMAP, y’a pas ! Ne cherchez pas, cela n’a pas été prévu pour. Il faut mettre un mot de passe “fixe”, d’où la nécessité d’en faire un très “complexe” !

Tu fais tourner un générateur + utilises un coffre à mots de passe

Changer le mot de passe de la boîte email, tous les ans, avec un long et complexe mot de passe. C’est pénible de devoir le retaper sur tous les mobiles, iPad et autres, mais cela peut rendre service ! Pas besoin de le mémoriser par cœur, no panic ! Par contre, l’écrire dans un coffre numérique sécurisé !

Un post’it sous le clavier, une feuille excel dans l’ordinateur ? Non, par pitié !

Et non, on ne reprends pas ce mot de passe pour un autre usage ! D’où l’intérêt d’un coffre facilitateur, gestionnaire de mots de passe, générateur même.

Ce qu’il serait judicieux de faire

Tu ne veux pas que la NSA t’espionne, ou les chinois, ou des cyberhackers ?

Tu reformates ton Mac ou PC sous Linux (on peut t’y aider). On fait cela avec nos ateliers PC-Revival pour recycler les vieux PCs (www.intergen.ch). Cela marche aussi avec les jeunes PCs, sauf si vraiment trop récents, peut poser des soucis avec les “pilotes” (drivers).

Tu gardes “à jour” ton PC/Mac

Même si cela installe aussi des nouvelles failles, c’est mieux de refermer les connues. Même si je déteste que Microsoft ai pris le contrôle de nos PCs Windows 10, c’est une bonne chose de les patcher, et rebooter !

Tu te gardes des liens douteux, même émis de gens connus

Ce lien peut générer un ‘Phishing’ (Hameçonnage) ou une tentative d’injection d’une infection (Spyware ou Troyen), rarement un virus (rapidement détectés par votre anti-virus).

On peut copier le lien, et le coller dans cette page.

Virus total est aussi un excellent second regard sur un package ou programme téléchargé, et à vérifier avant d’installer, même si sa source est censée être “fiable”. Microsoft aussi, peut se faire pirater.

Ce que je fais en plus ?

Pour ma part, j’ai un alias email différent pour chaque service web, ainsi, mon compte utilisateur utilise des emails différents entre les différents services web. L’usage généralisé d’un SSO via un login Twitter ou Google ne permet pas cela, alors j’ai un gros coffre à mots de passe, et utilise un login email.

Je ne stocke sur mon ordinateur aucune données sensibles de mes clients, sauf fortement crypté, mais en général, c’est en ligne, dans le Net, sur un site dont les serveurs sont mieux sécurisés que mon laptop, et n’est accessible qu’avec une double identification.

Et pour mon compte ‘Pro bono’ via Gmail, IMAP n’est pas activé ! Tout simplement…

Je ne prétends pas être “impiratable”. Mais cela ne sera pas si facile…

Plus ?

Besoin d’accompagnement ou formation? http://callme.kotte.net

Conseillers Numériques Suisses Romands

Le réseau des experts indépendants du digital pour des…

Pascal Kotté

Written by

Réducteur de fractures numériques, éthicien digital, Suisse romande.

Conseillers Numériques Suisses Romands

Le réseau des experts indépendants du digital pour des tranformations informatiques durables et responsables.

More From Medium

More on Conseil from Conseillers Numériques Suisses Romands

More on Conseil from Conseillers Numériques Suisses Romands

Alias email requis pour mon domaine

More on Conseil from Conseillers Numériques Suisses Romands

More on Conseil from Conseillers Numériques Suisses Romands

Utiliser ton PC pour ta conf amplifiée

More on Conseil from Conseillers Numériques Suisses Romands

More on Conseil from Conseillers Numériques Suisses Romands

Erreur disque

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade