Bonjour,
ma chère épouse a été victime d'une prise de contrôle indésirable de son compte amazon.
Jeudi matin, elle trouve dans sa boîte un message de demande de réinitialisation du mot de passe de son compte (message reçu vers 3H00 du matin).
En se rendant sur la page de login Amazon (directement, pas en cliquant sur un lien du message), elle constate qu'effectivement elle ne peut plus s'identifier.
Blocage carte bancaire auprès de sa banque, contact avec Amazon par téléphone, qui confirme le changement effectué au milieu de la nuit, et indique mettre en route la procédure pour qu'elle récupère le contrôle de son compte. Le compte semble effectivement désactivé en attendant la résolution.
Mesures prises :
Changement du mot de passe de l'adresse mail qui a reçu le message de réinitialisation, audit des éventuels comptes sur d'autres services utilisant le même couple mail/mot de passe (Oui, c'est pas bien …).
La victime utilise un MacBook Pro, vérification qu'il n'y a pas d'extensions douteuses installées sous Firefox (navigateur utilisé) et passage d'un coup de Malware Bytes pour vérifier la présence de malwares connus (il n'a rien trouvé).
Je m'interroge :
Mon analyse est que l'attaquant avait accès au compte mail ce qui lui a permis d'activer le lien de réinitialisation (mais aussi de voir les mails transitant sur ce compte, depuis une durée indéterminée). Est-ce qu'il y a une autre hypothèse crédible ? Je suis notamment surpris qu'il n'ait pas modifié aussi l'accès à ce compte mail pour garder la main le plus longtemps possible.
Il n'y a pas eu de tentative d'achats durant les quelques heures où l'attaquant avait le contrôle. Est-ce que l'attaquant peut avoir une autre idée derrière la tête, qui n'apparaîtra que ultérieurement ?
Avez vous d'autres mesures prophylactiques à conseiller ?
Remarque annexe : mon épouse a voulu aller porter plainte à la gendarmerie, elle a été fort désagréablement reçue par un gendarme qui a refusé d'enregistrer la plainte étant donné qu'il n'y avait pas de vol a proprement parler jusqu'à présent. Et lui a indiqué (véridique !) :
J'ai eu un compte Amazon une fois, il a été piraté. Vous devriez aller sur CDiscount
Merci.
# Active la MFA !
Posté par cho7 (site web personnel) . Évalué à 6. Dernière modification le 07 avril 2018 à 10:19.
Hello,
bossant dans l'authentification, la seule chose que je peux te conseiller pour la suite c'est d'activer l'authentification multi-facteur sur tous les sites "à risques" qui le supportent, et particulièrement ton compte email.
J'explique à tous mes amis comment l'activer sur leur compte gmail ou microsoft par exemple, car le compte mail est vraiment le compte le plus critique (tu l'auras compris, une fois qu'on est en sa possession il est très facile de faire un reset des autres comptes et donc c'est l'escalade)
Amazon supporte également l'enrôlement d'un générateur de TOTP (type GoogleAuthenticator), Facebook aussi, Linkedin je crois pas mais ils supportent quand même l'OTP via sms.
En tant que membre de la FIDO alliance, Google propose également en bonus l'enrôlement d'une clé U2F.
Et dans tous les cas la capacité pour ces sites à enregistrer l'empreinte de ton navigateur (device fingerprinting) ou de placer un cookie pour ne pas que tu sois challengé par le MFA à chaque connexion depuis le même appareil.
Bref, MFA everywhere, et crois moi on est beaucoup plus serein la nuit :-)
[^] # Re: Active la MFA !
Posté par audionuma (site web personnel) . Évalué à 2.
Bonne suggestion.
Malheureusement, le fournisseur du service mail concerné (un opérateur historique Français au nom de fruit) ne semble pas proposer ce service.
Je vais réfléchir à organiser une migration …
[^] # Re: Active la MFA !
Posté par cho7 (site web personnel) . Évalué à 3.
Effectivement, ne pas proposer l'authentification multi-facteur sur un service aussi critique que l'email pour moi c'est éliminatoire.
[^] # Re: Active la MFA !
Posté par KiKouN . Évalué à 3.
C'est surtout pas hyper utile si le compte est accessible en smtp, pop ou imap, protocoles où il n'y a pas d'authentification multi-facteur.
[^] # Re: Active la MFA !
Posté par cho7 (site web personnel) . Évalué à 2. Dernière modification le 10 avril 2018 à 07:47.
Sur gmail l'accès au POP/IMAP est également par défaut fermé. Si tu tiens absolument à l'ouvrir, ils contre-balancent cette absence de MMFA en te faisant générer un mot de passe applicatif très long qui n'a pas pour vocation a être retenu par l'utilisateur. Ce mot de passe peut être révoqué.
Ce n'est plus du MMFA a strictement parler, mais c'est un mot de passe qui normalement n'est pas censé se retrouver dans la base de données d'un autre site, ni se faire deviner au bout de 3 itérations en brute force. Et ca reste le choix de l'utilisateur de l'activer (à titre perso le webmail de GMail me convient très bien)
# Linux
Posté par NumOpen . Évalué à 2. Dernière modification le 07 avril 2018 à 13:26.
Perso, tous nos ordinateurs et ceux de notre famille proche sont sous Linux Mint (Mac et Windows interdits) du moment qu'ils servent à faire des achats ou à consulter des sites avec des données sensibles (banque, CAF…). C'est la première chose à faire.
Ensuite, penser à supprimer les données bancaires mémorisées après chaque achat, lorsque le site le permet (Amazon le permet, c'est un peu planqué dans les menus).
Le reste, c'est de la sécurité qui concerne l'utilisateur, à rabâcher jusqu'à ce que ça rentre : ne pas cliquer sur les liens suspects, effacer de suite les messages d'inconnus, ne rien télécharger ni installer en dehors du dépôt officiel Linux Mint etc.
Si tu as été piraté, je te conseille fortement de sauvegarder tes données, de formater tes disques et d'installer un OS à partir d'un DVD/clé USB/image ISO officielle.
[^] # Re: Linux
Posté par audionuma (site web personnel) . Évalué à 2.
Merci pour les conseils.
Je ne suis pas sûr qu'un autre OS aurait changé quelque chose dans le cas présent (Je n'ai rien trouvé de louche sur la machine). Je ne sais pas par contre comment l'attaquant a pu accéder au compte mail (si c'est bien par ce chemin qu'il est passé).
[^] # Re: Linux
Posté par hitmanu . Évalué à -4. Dernière modification le 07 avril 2018 à 19:21.
Ci tu a des enfants,
il ne faut pas sous estimer leurs intelligence,
ont le vois bien ici, il y a des saltim"banques". ;)
Merci aux personnes qui mon aidé a trouvé des solutions pour essayer d’écrire sans faute d’orthographe.
# Carte bancaire
Posté par mrlem (site web personnel) . Évalué à 6.
Pour ma part, je commence par partir du principe que tout compte pourra être compromis, et donc ne mettre mon numéro de carte bancaire sur aucun site. J'utilise systématiquement des e-carte bleues.
Sinon +1 pour le 2FA sur tous les comptes critiques.
[^] # Re: Carte bancaire
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 3.
C'est chouette les sites qui enregistrent les informations de carte bancaire, n'est-ce pas ? Je suis surpris que la plupart des gens ne se rendent compte du danger de cette pratique qu'une fois les problèmes arrivés.
# refus
Posté par SauronDeMordor (site web personnel) . Évalué à 2.
pour le refus de dépôt de plainte, il faut demander le numéro d immatriculation du dit gendarme/policier et de luis signaler que tu va faire une demande ultérieure en signalant sont refus explicite. ça refroidit les ardeurs.
tu peux également lui signaler que son refus sera signalé a ton assurance qui se fera un plaisir de lui renvoyer les préjudicie si besoin (même si pas sur que ça soit possible)
en ce qui concerne le problème proprement dit, ma compagne a eu un problème similaire, mais ce n'était pas un problème de password ou de mail, mais un vol des code de la CB (les numéro dessus) surement pris lors d un achat en super marché (c est facile de regarder la carte de de noter les numéros). En l'état Amazon avait bloqué le compte, fait les signalement et envoyé un mail car un autre compte avait tenté de mettre sa carte. la procédure de amazon c'était de bloquer les 2 comptes, notre appel a confirmé notre bon droit, et le lancement d une procédure moins fun pour le contrevenant.
donc as tu vérifié que ce n'était pas cela également?
[^] # Re: refus
Posté par arnaudus . Évalué à 3. Dernière modification le 08 avril 2018 à 23:02.
Je ne vois pas l'intérêt de jouer à zorro - juriste bac moins deux. Il suffit de porter plainte auprès du procureur.
En l'occurrence, le gendarme ne savait probablement pas comment qualifier la plainte. Il est évident que ce n'est pas un vol ni une usurpation d'identité, quelqu'un s'est introduit frauduleusement sur un site internet, a changé le mot de passe d'un utilisateur, et apparemment c'est tout. Je ne suis même pas sûr que ce n'est pas à Amazon de porter plainte, puisque la victime de l'intrusion, c'est techniquement le site piraté, pas l'utilisateur…
Non seulement c'est profondément débile, mais en plus tu proposes de menacer un officier de police judiciaire dans l'exercice de ses fonctions? Super conseil, il va trembler de peur.
La caissière du supermarché? Il faut quand même une sacré mémoire visuelle, parce qu'en une seconde, il faut noter les 16 chiffres, la date de validité, le nom du titulaire, et le code de trois chiffres au dos…
La généralisation de méthodes d'identification à plusieurs facteurs (sms ou e-mail de confirmation) permet quand même de limiter ce genre de pratiques.
[^] # Re: refus
Posté par fearan . Évalué à 2.
Hum, je n'en serai pas si certain, le pirate s'est fait passer pour quelqu'un d'autre auprès du site.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: refus
Posté par arnaudus . Évalué à 2.
Ça ne me parait pas évident, quand même. " Le fait d'usurper l'identité d'un tiers ou de faire usage d'une ou plusieurs données de toute nature permettant de l'identifier en vue de troubler sa tranquillité ou celle d'autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d'un an d'emprisonnement et de 15 000 € d'amende. "
Il y a quand même l'indication d'un objectif : en vue de troubler sa tranquillité, etc. Je ne suis pas certain que l'infraction soit constituée, parce que vu l'histoire, ça peut plutôt ressembler à un script qui, d'une manière ou d'une autre, a réussi à se logguer (peut-être via les milliards de couples login/password disponibles sur le darknet), et qu'aucun être humain n'a eu le temps de prendre la main. C'est peut-être une tentative d'escroquerie, mais c'est pas facile à prouver, et je ne suis pas sûr du tout qu'un tribunal considèrerait comme une usurpation d"identité le fait de se logguer sur un site. Il faudrait demander à un juriste pour déterminer la qualification de la plainte la plus susceptible de mener à des poursuites, mais franchement, je ne vois pas comment ne pas conclure à un non-lieu dans ce cas ; il n'y a pas de préjudice, pas d'indication de tentative d'escroquerie ou d'usurpation d'identité, voire même peu de preuves de l'effraction en elle-même (pour ça, il faudrait les logs de connexion d'Amazon et du compte mail, parce que ça peut aussi ressembler à une erreur de manip ou quelque chose de similaire.)
[^] # Re: refus
Posté par SauronDeMordor (site web personnel) . Évalué à 2.
non ce n'etait pas la caissière de supermarché pour le coup.
et non je ne menace pas officier de police, je lui stipule juste que si tu demande de faire un dépôt de plain ou d une main courante ce n est pas à lui de juger de la non recevabilité de celle ci.
dans mon cas le multi facteur n aurais servis a rien car c était l usurpation de la carte, et la présence d un doublon dans la base de amazone a lever une alerte et a bloquer les comptes adhoc avec notification.
on ne sais pas si le mot de passe à été changé, on sait juste que le compte n est plus accessible, je donne juste l information qu une chose similaire m est arrivé, et que ce n était pas un vol/cassage de mot de passe
[^] # Re: refus
Posté par arnaudus . Évalué à 2.
Bah je n'ai toujours pas compris ton histoire de supermarché du coup.
Il existe des générateurs de numéros de carte de crédit, qui tombent parfois sur des cartes existantes, au hasard. Et je ne comprends toujours pas ce qu'on peut faire d'un numéro de carte sans les autres indications qui y figurent (nom, validité, code de sécurité de l'autre côté).
Tu as parlé de le menacer de le dénoncer à ton assurance pour qu'il reçoive une facture ou un truc comme ça.
Techniquement, il peut refuser le dépôt d'une plainte s'il estime que l'infraction n'est pas constituée. Comme tu ne nous a pas dit pour quelle raison tu voulais porter plainte, c'est pas évident de discuter. Si c'était pour vol, alors en effet, l'infraction n'est pas constituée.
Pourquoi? S'il n'avait pas ton téléphone, jamais il n'aurait pu valider un achat. Donc le multifacteur aurait bloqué toute tentative de payement.
# S'est-elle connectée à partir d'un autre poste ?
Posté par Stinouff . Évalué à 1.
Cela fait longtemps que je déconseille activement à ma femme de se connecter sur sa boîte mail à partir d'autres ordinateurs.
Je te conseille donc :
De vérifier l'état de l'ordinateur assez assidûment (mais à moins que quelqu'un d'autre y ait eu accès, peu de chance).
De changer tous les mots de passe et d'utiliser des phrases de passe différentes et faciles à retenir.
D'utiliser la connexion multi-facteurs, si possible.
Je ne vois pas ce que l'attaquant pourrait faire de particulier, sauf s'il a eu accès à des données sensibles très personnelles. Auquel cas, je ne vois pas pourquoi il aurait changé le mot de passe Amazon…Ça n'a aucun sens. :)
Rassure-toi, sécurise un peu plus tout ça et ça devrait aller.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.