Sécurité : 100 dollars pour pirater un webmail

Guillaume Belfiore
Par Guillaume Belfiore, Rédacteur en chef adjoint.
Publié le 07 septembre 2009 à 14h57
00C8000002295848-photo-hacker-logo.jpg
Le Washington Post rapporte l'histoire de l'américaine Elaine Cialis âgée de 53 ans et résidant dans l'état de Virginie. Cette dernière aurait découvert que son petit ami, marié, aurait d'autres maîtresses. Moyennant 100 dollars, elle aurait fait appel au service de la communauté Yourhackez.com et obtenu le mot de passe du compte AOL de son petit ami. Pour 100 dollars supplémentaires, elle aurait également « acheté » les identifiants de connexion de l'épouse de ce dernier ainsi que tous les mots de passe d'une autre de ses maîtresses.

Par la suite, Mme Cionis aurait harcelé son petit ami par téléphone en utilisant un système permettant de modifier le timbre de sa voix. Elle fut interpellée par les autorités fédérales et condamnée à 15 mois de prison pour avoir, entre autres, enfreint les lois encadrant les usages informatiques.

Peter Eckersley, membre de l'équipe technologique de l'Electrique Frontier Foundation - un organisme chargé de défendre les libertés d'expression sur Internet - explique qu'il est difficile d'enrayer les services proposés ouvertement par ce genre de sites Internet. Il déclare ainsi : « il s'agit d'un point important que les gens n'ont pas compris... Si vous êtes la cible d'un hacker compétent qui prend son temps, il finira par vous avoir ». Pour les autorités, le piratage d'un compte email est condamné mais si ce dernier n'est pas suivi par d'autres activités illégales, il ne s'agit alors que d'un petit délit, explique Orin Kerr, professeur de droit à l'université de Washington.

Sur l'un des sites en question, SlickHackers.com, il est expliqué en page d'accueil : « nous sommes des professionnels souhaitant aider des gens sérieux à qui le mot de passe d'un compte email permettrait de sauver leur mariage, de connaître la vérité, d'empêcher une fraude, de protéger sa famille/son travail/ses intérêts lorsque d'autres méthodes plus conventionnelles ne s'y prêtent pas ». Une fois le compte piraté, une capture d'écran ou la copie d'un email de la boîte hackée est envoyée vers le client qui peut donc procéder au paiement, souvent via Paypal.

Devant la provocation affichée de ces communautés, le pouvoir du FBI serait limité. Paul Bresson, un porte-parole de l'agence gouvernementale, déclare ainsi que le FBI ne peut s'afficher en tant que policier du web avant d'ajouter : « le FBI est conscient de ces services illégaux et par le passé nous avons réussi à identifier des activités criminelles et avons travaillé avec des procureurs pour mettre en oeuvre un dossier d'accusation ». Cependant la plupart de ces sites étant hébergés en dehors du pays, l'enquête et le dialogue avec les autorités locales sont souvent longues.

Lors du sommet sur la sécurité informatique de l'IEEE, des chercheurs de Microsoft et de l'université de Carnegie Mellon avaient démontré que la question secrète permettant d'accéder à sa boite mail en cas d'oubli du mot de passe est souvent bien trop facile à deviner. « Les questions secrètes à elles seules ne sont pas aussi sécurisées que nous le souhaiterions pour une authentification sécurisée », expliquait Stuart Schechter, chercheur chez Microsoft. Il ajoutait : «  par ailleurs elles ne sont pas assez fiables pour assurer l'utilisateur qu'il aura de nouveau accès à son compte en cas d'oubli de son mot de passe ».
Guillaume Belfiore
Par Guillaume Belfiore
Rédacteur en chef adjoint

Je suis rédacteur en chef adjoint de Clubic, et plus précisément, je suis responsable du développement éditorial sur la partie Logiciels et Services Web.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles