Journal Oui, mais si on oublie la réponse à sa question secrète ?

44
25
juil.
2013

Bonjour à tous,

Comme moi, peut-être vous-êtes vous un jour posez cette question : « que se passe-t-il si je n'ai plus accès à ma boîte mail et que je ne me rappel plus de la réponse à ma question secrète » ? Et, comme moi, peut-être l'avez vous refoulée bien vite en vous disant que de toute manière cela ne vous arriverai jamais. Aujourd'hui, j'ai la réponse à cette question en ce qui concerne les comptes Yahoo et je tenais à vous en faire part tant elle est étonnante.

Tout d'abord, les faits : ma mère (ben oui, vous pensiez franchement que cela arriverait à un Linuxien chevronné ? :p) dispose d'un compte Yahoo depuis plusieurs années et utilise Outlook pour rapatrier et envoyer ses courriels. Seulement voilà, à cause d'une mauvaise manipulation dont j'ignore encore la nature, son adresse a été subtilisée et utilisée pour envoyer des tonnes de pourriels. Aussi, nous nous sommes rendus sur le site de Yahoo, et avons tenté de nous connecter, mais cette possibilité nous a été refusée sans répondre à une question secrète. Évidemment, la question et sa réponse datant d'il y a plusieurs années et ces dernières n'ayant jamais servi, il nous a été impossible de remettre la main dessus…

Dès lors, que faire sachant qu'il était exclus d'abandonner ce compte ? Hé bien, il nous était possible de demander de l'aide par courriel (j'attends toujours une réponse, d'ailleurs). Cependant, comme cela était un peu urgent, nous avons tenté de joindre Yahoo par téléphone. En effet, après une brève procédure nous demandant de décrire notre problème et de fournir une autre adresse courriel, en plus d'envoyer notre demande afin qu'elle soit (peut-être) traitée, nous avons eu droit à un joli numéro de téléphone (français) nous précisant que leurs bureaux ne sont ouvert que de 9h00 à 17h00. Comme il était plus de 20h00 lorsque nous avons lu cela, nous avons attendu le lendemain.

Le lendemain, nous essayons de joindre Yahoo à l'aide du numéro de téléphone fourni, mais ce dernier sonne constamment occupé. Dans le doute, nous appelons les renseignements (oui, cela existe encore) et un monsieur fort aimable nous précise qu'il est impossible de joindre Yahoo à l'aide de ce numéro et qu'en vérité, il est nécessaire de les joindre à leur siège social qui est situé, je vous le donne en mille, à Dublin

Qu'à cela ne tienne, nous tentons le coup (de téléphone) et obtenons une dame à l'autre bout du fil qui ne parle évidemment pas français. Et c'est là que cela devient (enfin) intéressant : après une brève explication du problème, elle nous demande simplement une autre adresse courriel qu'elle place dans les paramètres du compte indisponible comme adresse de secours. Après quoi elle nous envoie un code nous permettant de réinitialiser le mot de passe et les questions secrètes. Cependant, pas une seule fois elle n'a essayé de savoir si nous étions bien les véritable titulaire du compte, par exemple en demandant les derniers courriels reçus ou quelques informations personnels. Rien, juste une autre adresse courriel…

Ce qui m'amène à me poser une question élémentaire (autre que le coût de cette communication) : qu'est ce qui empêche une personne mal intentionnée de faire de même afin de prendre le contrôle d'un compte dont elle n'est pas l'utilisatrice légitime ? Aussi, comme cela se passe-t-il du côté des autres grands sites comme Google ?

  • # Social engineering

    Posté par (page perso) . Évalué à 10.

    Tu viens d'effectuer ce que l'on appelle couramment du social engineering.

    Normalement, les boites un peu sérieuses sont formées face à cette menace. Yahoo fait preuve de laxisme de ce point de vue, ce n'est ni la première, ni la dernière boite ayant aussi peu de considération pour la sécurité des comptes de leurs utilisateurs cependant …

    • [^] # Re: Social engineering

      Posté par . Évalué à 10.

      free.fr demande l'envoi d'une copie de pièce d'identité par voie postale, je trouvais ca chiant, mais finalement on ne peut pas avoir la rapidité ET la sécurité.
      Un proverbe dit, ceux qui préfère la rapidité a la sécurité ne mérite ni l'un ni l'autre, ou un truc comme ça…

      • [^] # Re: Social engineering

        Posté par (page perso) . Évalué à 4. Dernière modification le 25/07/13 à 22:23.

        mmm… Et ensuite, il se passe quoi?
        Parce que ma copie de pièce d'identité, c'est un peu aussi tout le monde (à commencer par mon employeur, la mairie, la CAF… Et aussi Paypal et j'en passe) qui l'a.
        Donc derrière, il faut autre chose (envoi du reset que par voie postale?)

        Avec tous les bases de pass qui ont fuité ces derniers mois, mes mots de passe sont pas mal dans la nature (haché/salé certes, mais quand même), et je commence aussi à avoir des données sensibles (et perso), je me demande ce qu'il faut que je fasse pour sécuriser tout ce bordel avec tous les défauts de tout ce monde.

        (je rajoute que je me suis aussi fait hacké mon pass facebook vide certes mais sur le principe, je en sais pas comment, et j'ai pu reprendre le contrôle car le système Facebook me permet de reprendre la main avec mon ancien pass pendant un certain laps de temps, ouf mais il ne faut pas non plus être pressé de changer un pass compromis du coup, le pass compromis ayant une durée de vie assez longue. Donc en gros l'année 2013 est pour moi une grosse attaque contre mes pass, il faut que je fasse quelque chose, je commence à mettre du truecrypt partout aussi, mais avec les failles des autres, je me demande si tout ça va suffire, sans toutefois que je perde l'accès moi-même, mais bon, on ne peut pas tout avoir)

        Bon, déjà, première chose que je vais faire : enlever Yahoo mail des adresses de secours que j'utilise.

        • [^] # Re: Social engineering

          Posté par . Évalué à 3.

          Chez Blizzard, s'il y a un doute sur l'origine de la pièce d'identité dans le cas où quelqu'un pourrait en avoir également une copie, ils demandent un mixte entre ces deux vérifications : Deux pièces d'identité, ou les pièces d'identité photographiées sur un journal daté du jour. Ça permet de séparer celui qui les a de celui qui n'a que des copies.

          J'imagine qu'un expert de génie pourrait assez bien truquer une telle photo pour ajouter la plastification et la gravure sur la carte, le reflet de la lumière, la vue d'une partie du journal déformée sous les rebords en plastique, le relief et les ombres portées sur le quotidien, ou la date et le sujet de la une pour matcher une une réelle, mais le risque semble vraiment minimal, et on touche la à une falsification assez experte d'identité.

          • [^] # Re: Social engineering

            Posté par (page perso) . Évalué à 3.

            Startcom demande au titulaire de la carte d'identité ou du passeport d'être pris en photo avec le titre en question dans les mains, pour ensuite l'envoyer par e-mail. J'ai cru voir ça un moment, je n'ai pas vérifié si c'était toujours d'actualité.
            C'est une autre variante.

          • [^] # Re: Social engineering

            Posté par . Évalué à 3.

            a mon Leclerc du coin lorsque tu paye par cheques il scan ta pièces d'identité :o, j'en suis tellement horrifié que je paye plus qu'en liquide ou CB. J'avais demandé ce qu'ils en faisaient, la réponse "on sait pas" ne m'avait pas énormément encouragé.

            Il va falloir finir par s'authentifier par certificat, plutôt que par mots de passe, j'ai lu quelques article assez impressionnant sur le cassage de mots de passe de md Michu avec les cartes graphiques.

            pendant ce temps ma banque continue le mots de passe avec chiffre uniquement et pas plus de 6.

            • [^] # Re: Social engineering

              Posté par . Évalué à 1.

              pendant ce temps ma banque continue le mots de passe avec chiffre uniquement et pas plus de 6

              à la banque postale c'est ça en tout cas

            • [^] # Re: Social engineering

              Posté par . Évalué à 4.

              Si c'est scanné on peut supposer qu'il y a traitement informatique derrière, au quel cas ils sont censé t'informer de tout ça avec la loi informatique et libertés (tout ça étant l'existence de ce traitement, et ce qui est fait/stocké et pourquoi).
              Ça peut valoir le coup de demander ça la prochaine fois.

              • [^] # Re: Social engineering

                Posté par . Évalué à 1.

                ce qui m'inquiete c'est qu'apple, OVH etc … se font pirater leur base avec les données, j'imagine très facilement qu'a mon Leclerc les petits hackers chinois font leurs courses tous les jours sans que personne ne s'en rendent compte ! Quand j'avais fait ma demande leur yeux rempli de " ah merde un casse couille, je vais l’embrouiller" m'incite a prendre le silence assez rapidement.

                c'est dommage car c'est le moins chère de ma région a produit identique

                • [^] # Re: Social engineering

                  Posté par (page perso) . Évalué à 4.

                  Quand j'avais fait ma demande leur yeux rempli de " ah merde un casse couille, je vais l’embrouiller"

                  En même temps, si tu as posé ta question directement dans le magasin où tu as fait tes courses, ça me paraît un peu normal.
                  Pour savoir ce qu'ils font des données qu'ils numérisent, à mon avis, il vaut mieux que tu t'adresses directement au siège. En tout cas, à un service communication qui lui devrait savoir rediriger la question aux personnes compétentes.
                  Je doute que le magasin local maîtrise le fonctionnement interne de leur système d'information. Et ça ne me choque vraiment pas.

                  • [^] # Re: Social engineering

                    Posté par . Évalué à 3.

                    toutafé, écrire une lettre ou la réponse sera, ne vous inquiétez pas tout est sécurisé. Ce n'est pas une perspective qui m'enchante n'ont plus. Déjà a ma banque j'avais demandé des précisions sur leur faiblesse de mots de passe: tout va bien ! il n'y a jamais eu de problème.

                    poser des questions qui nécessite un peu de réflexion et avoir une réponse fait par un stagiaire avec ma lettre dans la poubelle dans la minute, bof. Pour que cela soit un peu plus lu il faut l'envoyer en recommandé : 6 euros.

                    pour répondre a tes conseils judicieux, comme j’élève seule 2 enfants de 8 et 7 ans j'ai un peu autres choses à faire, surtout avec la reforme du temps scolaire de l'année prochaine :'(

                    • [^] # Re: Social engineering

                      Posté par . Évalué à 1.

                      pour répondre a tes conseils judicieux, comme j’élève seule 2 enfants de 8 et 7 ans j'ai un peu autres choses à faire, surtout avec la reforme du temps scolaire de l'année prochaine :'(

                      Bha alors pourquoi tu casses les couilles à un mec dont tu sais pertinemment qu'il n'a ni la réponse, ni la moindre action possible ? T'as pas le temps, lui non plus…

                      • [^] # Re: Social engineering

                        Posté par . Évalué à 2.

                        tu as zappé :

                         m'incite a prendre le silence assez rapidement.
                        
                      • [^] # Re: Social engineering

                        Posté par . Évalué à 2.

                        Que le caissier ne sache pas répondre à la question, c'est normal. Que son chef (ou le chef du chef …) ne sache pas non plus, je trouverais ça assez ridicule.

                    • [^] # Re: Social engineering

                      Posté par . Évalué à 1. Dernière modification le 27/07/13 à 00:38.

                      toutafé, écrire une lettre ou la réponse sera, ne vous inquiétez pas tout est sécurisé. Ce n'est pas une perspective qui m'enchante n'ont plus. Déjà a ma banque j'avais demandé des précisions sur leur faiblesse de mots de passe: tout va bien ! il n'y a jamais eu de problème.

                      La réponse c'est surtout que ça se bloque au bout de trois essais, même si tu peux éventuellement « débloquer » par téléphone, forcer le mot de passe est impossible. Il est néanmoins conseillé de le changer souvent…

                      Tu sais que l'on peut aussi générer un numéro de carte bleu valide complètement au hasard ? La difficulté pour un éventuel malfaiteur c'est de récupérer l'argent, pas simplement d'accéder au compte. Il y a eu un coup il y a peu, genre quelques dizaines de millier de retraits presque au même moment, seul quelques personnes se sont faites repérer.

                      Bref : j'accède à ton compte en banque (nan je déconne c'est une supposition ;) je fais quoi ? Un virement sur mon compte ?

                      • [^] # Re: Social engineering

                        Posté par (page perso) . Évalué à 2.

                        La réponse c'est surtout que ça se bloque au bout de trois essais,

                        J'avais cet argument aussi avant.
                        Avec les base de Sony, OVH… dans la nature, difficile de garder cet argument aujourd'hui.
                        Bon, pour les banques, leurs normes de sécurité (qu'OVH s'est décidé à prendre, mais que après le dump) sont au dessus, mais on n'est jamais à l'abri…

                        Un virement sur mon compte ?

                        Bon, OK, maintenant il y a le double authentification pour ce genre d'action, c'est pas mal.

                        • [^] # Re: Social engineering

                          Posté par . Évalué à 1.

                          Un virement sur mon compte ?

                          Bon, OK, maintenant il y a le double authentification pour ce genre d'action, c'est pas mal.

                          Je crois que la question est surtout "comment je fais pour récupérer de l'argent de manière anonyme ?". Du coup, pour répondre à la question d'origine, j'irai pas faire un virement sur un compte francais en ayant accés au compte de quelqu'un, mais on doit pouvoir trouver des banques peu scrupuleuse où on peut ouvrir un compte sous un faux nom.

        • [^] # Re: Social engineering

          Posté par . Évalué à 4.

          je me demande ce qu'il faut que je fasse pour sécuriser tout ce bordel avec tous les défauts de tout ce monde.

          Changer tous les mots de passe, avoir un mot de passe différent pour chaque service, des mots de passe assez fort (entre 12 et 20 caractères, avec majuscules, minuscules, numéro). Je suppose que tu l'as déjà fait, mais peut-être dans ceux qui nous lisent il y a des débutants dans le même cas que toi.

          Ensuite il n'y a pas de miracle : le meilleur moyen de ne pas se faire hacker son compte facebook/yahoo c'est de ne pas en avoir… Avoir un compte quelque part implique de donner sa confiance dans la sécurité du service en question.

          • [^] # Re: Social engineering

            Posté par (page perso) . Évalué à 5.

            le meilleur moyen de ne pas se faire hacker son compte facebook […] c'est de ne pas en avoir…

            C'est le meilleur moyen d'avoir quelqu'un qui créé le compte pour toi et se fait passer pour toi. Je connais un gars à qui c'est arrivé, tout le monde qui ne le connaissait pas de près croyait qu'il était gay et qu'il insultait tout le monde. C'est quand même bien chiant.

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

            • [^] # Re: Social engineering

              Posté par . Évalué à 4.

              Là à mon avis c'est plus un problème légal que technique. Si tu es obligé de créer un compte pour chaque service qui existe (facebook, google+, mediapart, rue89, linuxfr, etc.) pour pas qu'on te pique ton identité c'est très problématique.

              Mais en attendant peut-être que les lois sont à la traîne sur ce sujet. Comment juger un afgan qui te pique ton identité sur un service aux USA ? pas simple.

              • [^] # Re: Social engineering

                Posté par (page perso) . Évalué à 1.

                Là à mon avis c'est plus un problème légal que technique.

                D'accord, mais en attendant que les lois s'adaptent, il faut bien trouver une solution.

                Si tu es obligé de créer un compte pour chaque service qui existe (facebook, google+, mediapart, rue89, linuxfr, etc.) pour pas qu'on te pique ton identité c'est très problématique.

                Au moins le plus connu (Facebook) et peut-être un ou deux autres (Twitter) si tu veux être sûr. Ça couvre une partie de tes connaissances qui peuvent relayer les messages d'autres réseau où il y aurait un problème. C'est problématique mais tu n'as pas vraiment le choix.

                « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

            • [^] # Re: Social engineering

              Posté par (page perso) . Évalué à 3.

              tout le monde qui ne le connaissait pas de près croyait qu'il était gay […]. C'est quand même bien chiant.

              Ah ?

              • [^] # Re: Social engineering

                Posté par (page perso) . Évalué à 3.

                J'aurais dû formuler autrement : Tout le monde qui ne le connaissait pas de près croyait qu'il avait changer d'orientation sexuelle

                « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

            • [^] # Re: Social engineering

              Posté par . Évalué à 1. Dernière modification le 27/07/13 à 00:48.

              le monde qui ne le connaissait pas de près

              Le monde qui le connaissait de près ne savait pas qu'il n'utilisait pas facebook ? Genre personne lui a dit : « Et blabla sur facebook blabla…» et il aurait pu se poser des questions ?

              C'est vraiment con pour lui mais c'est clairement quelqu'un de son entourage (probablement très proche) qui a voulu lui nuire.

              Je perds pas espoire parce que je vois autour de moi que les gens sont quand même en train d'en revenir de facebook. De ses implications sur les relations humaines…

              • [^] # Re: Social engineering

                Posté par (page perso) . Évalué à 3.

                Genre personne lui a dit : « Et blabla sur facebook blabla…» et il aurait pu se poser des questions ?

                C'est comme ça qu'il l'a découvert.

                « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

            • [^] # Re: Social engineering

              Posté par . Évalué à -4.

              tout le monde qui ne le connaissait pas de près croyait qu'il était gay
              Tres grave, ca ! Quelle honte…

              (sic)

              • [^] # Re: Social engineering

                Posté par (page perso) . Évalué à 5.

                Je n'ai pas parler de honte, c'est quand même bizarre de lire à côté de la plaque à ce point.

                « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

              • [^] # Re: Social engineering

                Posté par (page perso) . Évalué à 2. Dernière modification le 27/07/13 à 12:29.

                tout le monde qui ne le connaissait pas de près croyait qu'il était gay
                Tres grave, ca ! Quelle honte…

                (sic)

                Tu sais ce que ça veut dire, "sic" (ainsi) ? Ça veut dire "je vous garanti que je cite bien le texte d'origine".

                Je dis ça pour la prochaine fois, Parleur, où non content de lire des trucs qui n'existent pas, tu serai tenté de les présenter pour la réalité. Parleur.

                • [^] # Re: Social engineering

                  Posté par . Évalué à -3.

                  J'ai juste foire ma citation en ne passant pas a la ligne entre la citation reelle et mon ajout sur la honte. :/
                  Ceci expliquant cela a propos du sic. :)

          • [^] # Re: Social engineering

            Posté par (page perso) . Évalué à 1.

            le meilleur moyen de ne pas se faire hacker son compte facebook/yahoo c'est de ne pas en avoir

            On peut aussi parler sérieusement et ne pas passer pour ridicule dans les conseils qui font passer la personne qui parle pour un autiste à ne pas écouter. En plus de ce qu'a dit Xavier, c'est tout simplement pour certaines personnes aussi utile qu'un téléphone mobile (il y en aussi qui disent que le mieux est de ne pas en avoir, certes…) et leur dire que le meilleur moyen c'est de ne pas en avoir est juste ne pas savoir s'adapter aux gens.

            Sinon, le meilleur moyen de ne pas avoir d'accident en dehors de chez soit est de ne pas sortir de chez soit (mais ça n'enlève pas le danger des accidents domestique, attention de ne pas aller à la cuisine non plus).

            • [^] # Re: Social engineering

              Posté par . Évalué à 4.

              C'est aussi très près du « dis moi ton besoin, je t'expliquerais comment t'en passer ».

              Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

            • [^] # Re: Social engineering

              Posté par . Évalué à 2.

              Je n'avais effectivement pas pensé à l'usurpation d'identité…

              On peut aussi parler sérieusement et ne pas passer pour ridicule

              Ok donc explique-moi sérieusement et sans ridicule comment tu peux utiliser un service web sans avoir confiance dans ce service ? Comment utiliser Yahoo de façon sécurisé sans avoir confiance dans leur manière de gérer les mots de passe ? Autrement qu'avoir un minimum confiance, je ne vois pas comment c'est possible.

              • [^] # Re: Social engineering

                Posté par . Évalué à 2.

                Ok donc explique-moi sérieusement et sans ridicule comment tu peux utiliser un service web sans avoir confiance dans ce service ?

                Tu fais confiance en ta banque ?

                Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

                • [^] # Re: Social engineering

                  Posté par . Évalué à 3.

                  Tu fais confiance en ta banque ?

                  oui j'ai plus confiance en ma banque qu'en mon matelas, malgré que c'est une banque avec risque systémique, qui cherche à m'entuber au moindre faux-pas…

                  Si je n'avais pas confiance, alors pourquoi j'irais mettre mes sous là-bas ??

                  • [^] # Re: Social engineering

                    Posté par . Évalué à 2.

                    […] malgré que c'est une banque avec risque systémique, qui cherche à m'entuber au moindre faux-pas…

                    Voila c'est bien ce que tu dis. La confiance ce n'est pas quelque chose de binaire.

                    Si je n'avais pas confiance, alors pourquoi j'irais mettre mes sous là-bas ??

                    Parce qu'il y a beaucoup de situations où avoir un compte en banque est une obligation.

                    Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

                    • [^] # Re: Social engineering

                      Posté par . Évalué à 2.

                      Parce qu'il y a beaucoup de situations où avoir un compte en banque est une obligation.

                      Et qu'une banque fourni quand même des services assez utiles/agréables : CB, paiement sur Internet,…

                    • [^] # Re: Social engineering

                      Posté par . Évalué à 1.

                      Voila c'est bien ce que tu dis. La confiance ce n'est pas quelque chose de binaire.

                      Tout à fait. Le point soulevé par Zenitram était de savoir quoi faire pour sécuriser ses mots de passe, dans le cas où les services externes font n'importe quoi.

                      Dans ce cas, perso je ne vois toujours pas de solution. As-t-on une autre solution que de faire confiance aux services en question ??

              • [^] # Re: Social engineering

                Posté par (page perso) . Évalué à 0.

                Ok donc explique-moi sérieusement et sans ridicule comment tu peux utiliser un service web sans avoir confiance dans ce service ? Comment utiliser Yahoo de façon sécurisé sans avoir confiance dans leur manière de gérer les mots de passe ? Autrement qu'avoir un minimum confiance, je ne vois pas comment c'est possible.

                Toi, tu es pote avec les gens qui disent que la seule solution pour éviter le VIH, c'est l'abstinence (qui est une méthode, certes, ils n'ont pas tort la dessus).
                D'autres pensent qu'on peut trouver d'autres moyens moins abrupts.

                • [^] # Re: Social engineering

                  Posté par . Évalué à 2.

                  Toi, tu es pote avec les gens qui disent que la seule solution pour éviter le VIH, c'est l'abstinence

                  Pour que l'analogie soit correcte, je dirais plutôt que pour se protéger du VIH, soit tu fais confiance à ton partenaire un minimum, soit c'est effectivement l'abstinence. La nuance est très importante :) Tu fais l'amour avec des gens en qui tu n'a aucune confiance qu'ils se protègent bien contre le VIH toi ?

                  D'autres pensent qu'on peut trouver d'autres moyens moins abrupts.

                  Lesquels ? Sérieusement, en tant qu'admin sys ça m'intéresse, mais pour le moment je ne vois pas tellement de solution.

                  • [^] # Re: Social engineering

                    Posté par (page perso) . Évalué à 4.

                    Pour que l'analogie soit correcte, je dirais plutôt que pour se protéger du VIH, soit tu fais confiance à ton partenaire un minimum, soit c'est effectivement l'abstinence. La nuance est très importante :) Tu fais l'amour avec des gens en qui tu n'a aucune confiance qu'ils se protègent bien contre le VIH toi ?

                    Si t'es protégé, si l'autre l'a ou pas théoriquement tu ne cours aucun risque, voire faible.
                    Le préservatif est là pour se protéger si tu n'as pas confiance en l'autre ou si l'autre est malade. S'en dispenser nécessite de la confiance quoiqu'il arrive.

                • [^] # Re: Social engineering

                  Posté par . Évalué à 5.

                  Toi, tu es pote avec les gens qui disent que la seule solution pour éviter le VIH, c'est l'abstinence (qui est une méthode, certes, ils n'ont pas tort la dessus).

                  Ça c'est une méthode pour ne pas procréer. Techniquement ça ne suffit pas pour être sûr de ne pas avoir le VIH. Bon, ça évite 98-99% des cas d'infection, mais il y a quelque autres possibilités d'infections.

                  Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

          • [^] # Re: Social engineering

            Posté par . Évalué à 2.

            des mots de passe assez fort (entre 12 et 20 caractères, avec majuscules, minuscules, numéro)

            correcthorsethatsabatterystaple…

            • [^] # Re: Social engineering

              Posté par . Évalué à 3.

              La caractère « point de suspension » dans un mot de passe c'est pas mal, mais si tu dois le taper via SSH depuis un Windows avec la disposition clavier par défaut, bon courage ! ;)

              • [^] # Re: Social engineering

                Posté par (page perso) . Évalué à 2.

                Sur le même registre, je me demande quelle est la résistance d'une dizaine d'espaces comme mot de passe.

                Contre du bruteforce pur, autant que n'importe quelle série de caractères de même longueur, mais contre du dictionnaire ?

                • [^] # Re: Social engineering

                  Posté par (page perso) . Évalué à 2.

                  Facile, ce mot de passe est interdit (oui, OVH m'interdit un espace en début et fin de mot de passe : "8 à 31 caractères. Ne pas commencer ni terminer par une espace". Pas encore compris la raison d'une telle limitation)

                  OK, ça ne répond pas à la question (est-ce que les dicos de pass contiennent ce mot de passe), mais les espaces m'ont fait penser à cette limitation arbitraire quand j'ai changé mon pass suite au dump de leur base de pass.

                  • [^] # Re: Social engineering

                    Posté par . Évalué à 3.

                    Ne pas commencer ni terminer par une espace". Pas encore compris la raison d'une telle limitation

                    Probablement quelque chose comme "pour être sûr que vous avez tapé le bon mot de passe, tapez-le dans bloc note en clair, et copiez-collez le", associé à une vérification que la personne n'a pas copié collé un espace de trop. Bon il faut que la page de login annonce "votre mot de passe commence/termine par une espace" pour que ça marche, pas uniquement le serveur quand il reçoit le mot de passe pour le changer.

                    Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

                • [^] # Re: Social engineering

                  Posté par . Évalué à 3.

                  A mon avis le bruteforce pur et dur doit faire des concessions s'il veut trouver quoi que ce soit en un temps raisonnable.
                  Du coup je pense qu'il faut se limiter à [a-zA-Z], voire éventuellement [a-z].
                  Si on commence à y inclure toute la table ASCII voire encore plus (utf8) ça n'est plus rentable.

                • [^] # Re: Social engineering

                  Posté par (page perso) . Évalué à 5.

                  Sur le même registre, je me demande quelle est la résistance d'une dizaine d'espaces comme mot de passe.

                  L’intérêt, c’est surtout de pouvoir l’écrire sur un post-it collé en vas de l’écran en toute sécurité.

              • [^] # Re: Social engineering

                Posté par . Évalué à 2.

                Tiens je n'ai pas entré le caractère '…', il y a un intermédiaire qui a remplacé mes '.'{3} en '…'. Surement le formulaire DLFP car je poste depuis un Windows :-/

          • [^] # Re: Social engineering

            Posté par . Évalué à 1.

            Avoir un compte quelque part implique de donner sa confiance dans la sécurité du service en question.

            +1 C'est totalement vrai.

            Même si on peut faire ce qu'il faut en solidité de mot de passe et bonne gestion (ne pas les laisser traîner) pour ne pas être à la merci de son voisin ou du Kévin Hacker du quartier (ou d'un quartier loin sur la planète) on est pas forcément à l'abri d'un manque de déontologie de certains fournisseurs, de leur techniciens…

        • [^] # Re: Social engineering

          Posté par . Évalué à 4.

          je me demande ce qu'il faut que je fasse pour sécuriser tout ce bordel avec tous les défauts de tout ce monde.

          Effectivement, on est bien démuni mais outre mettre des mots de passe carabinés (genre un mot de passe complexe avec un suffixe différent pour chaque site), tu peux essayer :

          • Activer la double authentification dès que c'est possible (même si ça t'oblige à lâcher ton n° de téléphone)
          • Faire du lobbying auprès du site pour pousser à la mise en place de : la double authentification, openid (ou équivalent) ou encore Mozilla persona.
      • [^] # Re: Social engineering

        Posté par (page perso) . Évalué à -2.

        Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l'une ni l'autre, et finit par perdre les deux.
        Benjamin Franklin.

        Je ne sais pas si c'est ce à quoi tu fais allusion, mais il ne s'agit pas de rapidité …

        • [^] # Re: Social engineering

          Posté par . Évalué à 7.

          Second degré monde on !
          Il n'y en a qui en manque !
          Il l'a modifiée exprès :p

        • [^] # Re: Social engineering

          Posté par . Évalué à 10.

          Le problème avec les citations sur internet c'est qu'on ne peut jamais être sûr.
          Benjamin Franklin.

          • [^] # Re: Social engineering

            Posté par . Évalué à 4. Dernière modification le 26/07/13 à 00:20.

            Voici une citation fort à propos :
            "Citation. Répétition erronée d'une déclaration d'autrui." - Ambrose Bierce

            J'aime bien aussi celle là :
            « Les citations, c'est de la pensée en conserve : c'est pas cher, c'est pas toujours très bon, mais tout le monde en mange. » Nicolas Meyer

            ou celle-là :
            « Les citations sont à la pensée ce que le prêt-à-porter est au sur-mesure… » Alain Remi

            Mais celle que je cherchais en l'occurence c'est celle-là :
            « L'art de la citation est l'art de ceux qui ne savent pas réfléchir par eux-mêmes. » Voltaire

            Merci wikipedia

            • [^] # Re: Social engineering

              Posté par . Évalué à 2.

              "La faculté de citer est un substitut commode à l'intelligence"

              • [^] # Re: Social engineering

                Posté par . Évalué à 3.

                "La faculté de citer est un substitut commode à l'intelligence"

                Somerset Maugham

                Une citation, sans mention de l'auteur est elle encore une citation ? (moi)

                Il se prend pour Napoléon, son état empire.

                • [^] # Re: Social engineering

                  Posté par . Évalué à 1.

                  C'était pour vous laissez chercher.

                  ouhla je ne sais pas comment écrire ça "vous laiss?? chercher"

                  • [^] # Re: Social engineering

                    Posté par . Évalué à 2.

                    C'est de l'infinitif, c'est évident en remplaçant le verbe :

                    c'était pour vous prendre
                    c'était pour vous cuire

                    ou encore mieux :

                    c'était pour vous faire chercher

                    • [^] # Re: Social engineering

                      Posté par . Évalué à 1. Dernière modification le 26/07/13 à 21:08.

                      Merci !
                      Ballot j'aurais du y penser !

                • [^] # Re: Social engineering

                  Posté par . Évalué à 3.

                  "La faculté de citer est un substitut commode à l'intelligence"

                  Une citation, sans mention de l'auteur est elle encore une citation ? (moi)

                  A sa place, je dirais que non, ce n'est pas vraiment une citation…

            • [^] # Re: Social engineering

              Posté par (page perso) . Évalué à 3.

              "Une citation c'est quelque chose que quelqu'un de célèbre a dit après sa mort." Albert Einstein

            • [^] # Re: Social engineering

              Posté par . Évalué à 2.

              Un proverbe chinois dis que lorsqu'on a rien à dire, on cite un proverbe chinois.

              Il ne faut pas décorner les boeufs avant d'avoir semé le vent

          • [^] # Re: Social engineering

            Posté par . Évalué à 2.

            C'est pas Victor Hugo ?

          • [^] # Re: Social engineering

            Posté par (page perso) . Évalué à 1.

            Le problème avec les citations sur internet c'est qu'on ne peut jamais être sûr.
            Roger

          • [^] # Re: Social engineering

            Posté par (page perso) . Évalué à 2.

            T'es sûr ? Il me semblait que c'était une citation d'Aretha Franklin mais je me trompe peut-être.

            « I approve of any development that makes it more difficult for governments and criminals to monopolize the use of force. » Eric Raymond

      • [^] # Re: Social engineering

        Posté par (page perso) . Évalué à 1.

        Un proverbe dit, ceux qui préfère la rapidité a la sécurité ne mérite ni l'un ni l'autre, ou un truc comme ça…

        Je connais bien un truc dans le genre:
        "Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l'une ni l'autre, et finit par perdre les deux."
        Benjamin Franklin

        J'adore cette citation, trop pertinente dans le monde d'aujourd'hui, alors que Franklin a vécu il y a plus de 2 siècles de ca…

    • [^] # Re: Social engineering

      Posté par . Évalué à 4.

      Au contraire, je pense que Yahoo a des stats, et que ces stats leur disent qu'il vaut mieux que la manœuvre soit simple:
      -Qui voudrait pirater le compte? Dans la très grande majorité des cas, c'est un spammeur, via un bot. Ni le spammeur ni le bot n'appellent Dublin pour récupérer un accès, trop de boulot par compte, il faut du volume.
      -Si c'est un réel malfaiteur qui en veut à ton compte en particulier, il y a de bonnes chances que ce soit l'actuel usurpateur, qui n'a donc pas besoin d'appeler Dublin.
      -Si c'est le malfaiteur qui a déjà accès au compte qui demande des infos personnelles, il va très certainement les trouver dans tes mails!
      -Statistiquement, il y a plus d'utilisateurs qui paument leur accès bêtement que de malfaiteurs qui en veulent à un compte particulier sans avoir pu y accéder et qui vont jusqu'à appeler Dublin.

      Donc Yahoo mise sur le fait que le social engineering, c'est l'exception plutôt que la règle, et qu'il vaut mieux 1 utilisateur fâché pour 10,000 qui diront que "Yahoo a réglé mon problème d'accès en moins de deux!" que 1 sauvé de justesse peut-être même sans le savoir pour 10,000 qui ne comprennent pas pourquoi on leur fait toutes ces misères pour un bête mot de passe perdu alors qu'on peut créer un compte GMail en 5min.

      • [^] # Re: Social engineering

        Posté par (page perso) . Évalué à 4.

        La boite mail, c'est aussi l'endroit ou tu reçois tous les liens pour réinitialiser les mots de passe lorsque tu cliques sur "J'ai oublié mon mot de passe" sur n'importe quel service. (réseaux sociaux, registrars, boutiques en lignes)

        Donc, si il y a bien un service qui doit être irréprochable sur la sécurité, c'est bien le mail.

        Yahoo sont des gros nazes niveau sécurité, et se foutent complètement de leurs utilisateurs. La preuve en est qu'ils ont décider de remettre à la disposition de n'importe qui en ferait la demande des comptes mails qui n'ont pas été utilisés depuis plus d'un an.

        Il aura fallu attendre 2013 pour que yahoo se décide à mettre en place SSL, et encore il faut l'activer toi même car inactif par défaut.

        Si yahoo regardait ses stats de plus prés, ils comprendraient que leur service mail est tellement minable que ses boites ne sont maintenant plus utilisées que comme boite à spam. (Ceux qui l'utilise encore sérieusement le font pour des raisons historiques et ne souhaitent pas changer d'adresse.)

        • [^] # Re: Social engineering

          Posté par . Évalué à 2.

          Il aura fallu attendre 2013 pour que yahoo se décide à mettre en place SSL, et encore il faut l'activer toi même car inactif par défaut.

          Sincèrement, il y a combien d'utilisateurs que ça inquiète pour de vrai de tout balancer en clair?
          Faudrait déjà commencer par éliminer le taux d'utilisateur qui ne comprend pas la question, puis ceux qui s'en foutent ou y réfléchiront 5min avant de s'en foutre (PRISM, ça a eu quoi comme impact concret sur l'attitude des gens face aux services américains? 0 absolu ou juste négligeable?).

          Si je gère le business et que je regardes les stats, je me dis que ça vaut pas le coup de se faire chier…

          • [^] # Re: Social engineering

            Posté par (page perso) . Évalué à 3.

            Sincèrement, il y a combien d'utilisateurs que ça inquiète pour de vrai de tout balancer en clair?

            Ceux qui se connectent à leur webmail à partir de l'accès wifi-public de la terrasse d'un café, et qui ensuite viennent se plaindre de s'être piraté leur compte, parce que le fournisseur du service à une politique de sécurité minable …

      • [^] # Re: Social engineering

        Posté par . Évalué à 1. Dernière modification le 26/07/13 à 20:33.

        maclag a écrit:

        Au contraire, je pense que Yahoo a des stats, et que ces stats leur disent qu'il vaut mieux que la manœuvre soit simple:

        Tu trouves que téléphoner à Dublin pour récupérer l'accès à son compte est une manœuvre simple ? Moi pas, même si je sais me débrouiller en anglais.

        • [^] # Re: Social engineering

          Posté par . Évalué à 2.

          Par "simple", je veux dire que tu n'as pas besoin de fournir mille et une preuve que c'est bien toi au bout du fil.

          • [^] # Re: Social engineering

            Posté par . Évalué à 2.

            maclag a écrit :

            Par "simple", je veux dire que tu n'as pas besoin de fournir mille et une preuve que c'est bien toi au bout du fil.

            Ok, de ce côté, nous sommes bien d'accord.
            Toutefois, je pense tout de même qu'il est possible de demander une ou deux informations sans pour autant rendre la procédure longue ou fastidieuse. Aussi, si Yahoo était si soucieux de la facilité et de la rapidité de la procédure de récupération de compte, je pense qu'il aurait pris la peine de mettre en place un service client francophone (parce que bon, tout le monde ne sait pas se débrouiller avec une opératrice anglophone).

  • # Vol d'identité

    Posté par (page perso) . Évalué à 10.

    C'est comme ça que le vol d'identité numérique peut commencer http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/

    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

  • # Et pour faire ça sans laisser de trace

    Posté par . Évalué à 2.

    Les opérateurs te permettent d'ouvrir une ligne ou de débloquer un portable sur un numéro de carte de CI complètement au hasard donné par téléphone :)

    • [^] # Re: Et pour faire ça sans laisser de trace

      Posté par . Évalué à 1.

      Les opérateurs te permettent d'ouvrir une ligne

      oui mais non. Tu as 15 jours pour envoyer une photocop recto verso à ton opérateur, sinon couic.
      Quelque soit le type de ligne : forfait, prépayé, bicphone, whateva'.
      Réglementation du SGDSN.

  • # Yahoo est pas vraiment sérieux

    Posté par . Évalué à 4. Dernière modification le 25/07/13 à 22:51.

    Pour déverrouiller le compte ils auraient pu au moins exiger une adresse géographique est envoyer un de leur hotliner sur place (ça lui aurait fait les pieds) pour constater l'honnêteté de l'internaute de visu…

    Google a de l'avance dans ce domaine grâce à la Google Car :)

    Cependant, pas une seule fois elle n'a essayé de savoir si nous étions bien les véritable titulaire du compte

    Je suppose qu'elle y a été un peu au juger, après tout quand tu as appelés tu étais sincère et tu voulais juste la solution pour récupérer le compte, tu as peut-être laissé passer quelques trucs :)

    Une solution pourrait être une lettre, recommandé pourquoi pas. Ça limiterait sûrement.

    Mais l'équilibre est dur pour Yahoo entre sécurité et satisfaction client… Si t'avais du passer par deux mois de paperasses et vingt coups de fil tu aurais aussi dénoncé grave sur Yahoo :)

    • [^] # Re: Yahoo est pas vraiment sérieux

      Posté par . Évalué à 0.

      Marotte a écrit:

      Je suppose qu'elle y a été un peu au juger, après tout quand tu as appelés tu étais sincère et tu voulais juste la solution pour récupérer le compte, tu as peut-être laissé passer quelques trucs :)

      Non non, je n'ai vraiment fourni aucune information si ce n'est le compte indisponible, l'adresse de secours et le fait que ma langue maternelle est le français. Bon, elle aurait peut-être eu des doutes si j'avais eu un accent russe, m'enfin en l'occurrence elle n'a pas eu d'autres informations.

      Marotte a écrit:

      Mais l'équilibre est dur pour Yahoo entre sécurité et satisfaction client… Si t'avais du passer par deux mois de paperasses et vingt coups de fil tu aurais aussi dénoncé grave sur Yahoo :)

      Effectivement, j'aurais également râler sur Yahoo si j'avais dû attendre deux mois pour retrouver un accès au compte, mais pas pour les mêmes motifs. :p
      Cependant, je pense qu'il y a quand même moyen de s'assurer un minimum de l'identité de la personne. Il y a un exemple d'informations demandées du côté de hotmail donné par ffx un peu plus bas qui me paraissent tout à fait pertinentes.

  • # Du professionnel, du propre

    Posté par . Évalué à 3.

    Il m'est arrivé la même avec ma mutuelle, je n'avais pas reçu pour une raison inconnu mes identifiants pour accéder à mon dossier, j'ai téléphoné, et pas une seule question pour savoir si celui qui est à l'autre bout du fil est bien celui à qui le dossier est destiné.

    De mémoire, c'est une "faille de sécurité" utilisée assez tôt dans l'ère de l'informatique. Si je me souvient bien, le livre Underground de Julian Assange faisait mention de ce type d'action.

    • [^] # Re: Du professionnel, du propre

      Posté par (page perso) . Évalué à 5.

      C'était une des spécialités de Kevin Mitnick, cette technique est abordée dans son livre "Ghost in the wires".
      C'est comme tu le dis une technique utilisée assez tôt dans l'ère de l'informatique, aujourd'hui on peut appeler ça aussi la faille entre la chaise et le clavier, mais du coté du fournisseur du service.

      Mais ça n'est évidemment pas spécifique à l'informatique.

    • [^] # Re: Du professionnel, du propre

      Posté par (page perso) . Évalué à 0.

      Il m'est arrivé la même avec ma mutuelle,

      Moi avec les impôts. Il y a trois ans, j'oublie totalement de faire ma déclaration. A J - 1 je me rends compte que mon certificat est expiré et que les trois infos nécessaires pour me connecter (de mémoire trois nombres qu'on trouve sur deux papiers différent) sont dispersés au 4 vent.

      J'envoie un mail à une adresse @impots.gouv.fr que j'avais déjà contacté pour une autre question en gueulant que c'est inadmisible de faire expirer mon certificat à J -1. Le lendemain je reçois tout le nécessaire pour m'identifier.

      • [^] # Re: Du professionnel, du propre

        Posté par . Évalué à 6.

        Tu peux aussi ne pas gueuler et être poli. Le monsieur, ou la madame, il n'y est pour rien que tu attends J-1 et que tu as dispersés tes papiers aux 4 vents. Même si tu as tout perdu, tu leur demande simplement le montant (qui de toute facon est publique) tu leurs balances un chèque dans la boîte et ca passe tout seul.

      • [^] # Re: Du professionnel, du propre

        Posté par (page perso) . Évalué à 3.

        Ils ont sans doute vérifié que l'expéditeur du courriel correspondait bien à ton adresse (normalement, ils la connaissent).

        P.S. : je précise pour les lecteurs premier degré que c'est de l'humour (même si c'est peut-être la triste réalité).

  • # Téléphone

    Posté par . Évalué à 6.

    Cependant, pas une seule fois elle n'a essayé de savoir si nous étions bien les véritable titulaire du compte

    En même temps, elle a peut-être faire une recherche inversée sur le numéro de téléphone qui l’appellait et vérifié qu’il correspondait bien au nom dans l’adresse e-mail, ainsi qu’à la géolocalisation des IPs depuis lesquels les e-mail étaient récupérés. :-D

    • [^] # Re: Téléphone

      Posté par . Évalué à 10.

      Meuh non, elle est connecté en direct à la NSA. D'ailleurs tu urais plutot du les contacter directement pour obtenir la réponse à ta question secrète.

      • [^] # Re: Téléphone

        Posté par . Évalué à 3.

        J'y ai pensé, mais cela me serait revenu plus cher qu'un appel vers Dublin. :p

        • [^] # Re: Téléphone

          Posté par . Évalué à 3.

          En fait tu crois que tu appelais Dublin, mais en vrai tu as été redirigé vers la hotline de PRISM, autant virer les intermédiaires (on reconnait bien là le pragmatisme économique des américains)

  • # Spam

    Posté par (page perso) . Évalué à 7.

    Ça aurait peut-être été moins simple si la boite mail n'avait pas été utilisée pour balancer du spam.

    • [^] # Re: Spam

      Posté par . Évalué à 1.

      Effectivement, je n'y ai pas pensé sur le moment même, mais c'est bien possible.

    • [^] # Re: Spam

      Posté par . Évalué à 2.

      Mes contacts Yahoo se divisent en trois catégories :
      - ceux qui se sont fait piraté leur compte et m'ont envoyé du spam,
      - ceux qui se sont fait piraté leur compte et vont m'envoyer du spam,
      - ceux qui vont se faire pirater leur compte et vont m'envoyer du spam.

      Il y a bien une 4ème catégorie : l'armée des 12 Terminators en Delorean, mais elle ne fait pas partie de mes contacts.

      Plus sérieusement, je me suis toujours demandé si il y avait un mec chez Yahoo qui revendait les mots de passes toute les semaines ou si leur système était une passoire totale. Le plus étrange, alors qu'on a sans arrêt des annonces de plein de site qui nous annoncent des fuites de données personnelles, on en a jamais de Yahoo. Peut être que l'information est tellement banale qu'elle n'est pas relayée ?

      • [^] # Re: Spam

        Posté par . Évalué à 4.

        Ou encore mieux: ils ne s'en sont toujours pas rendu compte, c'est la fête du slip tous les jours chez les spammeurs!

  • # Plan B

    Posté par . Évalué à 4.

    Etape 1) Se rendre directement et physiquement à Dublin.
    Etape 2) …
    Etape 3) Profit ! faire la fête avec les Irlandais qui sont gentils comme tout

    BeOS le faisait il y a 15 ans !

    • [^] # Re: Plan B

      Posté par . Évalué à 9.

      Etape 3) Profit ! faire la fête avec les Irlandais qui sont gentils comme tout

      Et qui ont la tête dans le cul le lendemain et font n'importe quoi avec ton compte de messagerie.

      Il se prend pour Napoléon, son état empire.

  • # Hotmail

    Posté par . Évalué à 5.

    En 2006(!) j'avais eu un souci sur hotmail, et voilà la liste des informations demandées par mail, à l'époque:

    For us to be able to assist you in resetting your password, we will need your cooperation by verifying your account ownership. To do this, please provide the following information completely and accurately:

    1. The first and last name
      1. The sign in name you are having difficulties with
      2. Your date of birth in the form "month/date/year"
      3. Your country or region
      4. Your state
      5. Your ZIP or Postal Code
      6. The approximate date of the last time you successfully signed in
      7. The exact Microsoft Passport Network site you last visited on your last successful sign in (Example: MSN Hotmail, MSN Messenger, MSN Chat, MSN Games)
      8. The approximate date you registered the account
    2. A list of as many personal folders you have created in the account aside from the default folders of MSN Hotmail (Example: Inbox, Drafts, Sent Items)
    3. The name of your current Internet Service Provider (ISP) and any past ISPs you have used
      • An ISP is a company that provides an end user with a connection to the Internet and other similar services, such as e-mail. Examples include MSNIA, EarthLink, and Comcast.
    4. The name of the organization that you access the Internet from, if you access the Internet from outside your home
    5. The IP address for each computer that you use for the account
      • An IP address is a code made up of numbers separated by three dots that identifies a particular computer on the Internet (Example: 222.222.22.0). You can determine your IP address for each computer by visiting http://www.whatismyip.com/ . Upon visiting the site, your IP address should be displayed at the topmost center of the page.

    Donc pas de papiers d'identité demandés mais plusieurs informations pertinentes.
    J'avais pu récupérer mon compte grâce à cela, mais l'attaquant avait effacé tous les emails et il n'a pas été possible de récupérer mes spams :(

    • [^] # Re: Hotmail

      Posté par . Évalué à 2.

      Le point 5 c'est sympa si tu as changé de fournisseur entre temps :)

    • [^] # Re: Hotmail

      Posté par . Évalué à -2.

      Laisse-moi tout démonter: si je suis le pirate, et que j'en veux à ton compte en particulier (donc pas un spammeur qui utilise des bots):

      1. Si c'est ton adresse principale, il y a de bonnes chances qu'un jour dans ta vie tu aies envoyé tes coordonnées postales à quelqu'un, et elles y sont toujours.
        Ta date de naissance est dans tes paramètres personnels, pour que Hotmail puisse te souhaiter ton anniversaire, ça fait chaud au coeur.
        La dernière fois que tu t'es connecté avec succès à une marge d'erreur près? Si je suis le pirate, je rentre une date aléatoire entre celle du dernier email reçu et lu, et celle où j'ai piraté le compte.
        J'écrirai que je ne me rappelle plus du tout quand j'ai créé le compte. Au pire je regarde si ça se trouve, ou les plus vieux mails archivés.

      2. Je crois que je peux envoyer la liste des dossiers qui apparaissent si je me connecte à ta place.

      3. Ton FAI t'as-t-il jamais écrit sur cette adresse? Ou en as-tu jamais parlé dans tes mails?

      4. Je crois qu'on peut certainement retrouver au moins le nom de la boite dans laquelle tu bosses en accédant à ton email principal.

      5. Je prétexterai que je ne comprends pas bien la question.

      Et pour conclure, je dirais simplement que toutes ces vérifications ne sont pas si sures, mais le principe c'est que c'est trop de boulot pour un simple compte du point de vue du spammeur.

      • [^] # Re: Hotmail

        Posté par . Évalué à 3.

        Pas trop compris ton démontage…

        Tu pars du principe que tu es le pirate ET que tu as déjà pris la main sur le compte de ta victime. Or la procédure décrite c'est ce que tu dois faire AVANT pour usurper l'identité du vrai propriétaire.

        Donc tu n'as pas encore accès à toutes ces infos (profil, email) afin de tromper les contrôles d'hotmail.
        Maintenant je ne dis pas que c'est infaillible pour autant, en cherchant bien ya surement moyen d'apporter une réponse crédible, avec des infos récupérées ici ou là (facebook, google, connaissance IRL de la personne…)

      • [^] # Re: Hotmail

        Posté par . Évalué à 1.

        Et pourquoi diable est ce que t'appelerais hotmail si t'as deja acces a la boite, au juste?

        Linuxfr, le portail francais du logiciel libre et du neo nazisme.

    • [^] # Re: Hotmail

      Posté par (page perso) . Évalué à 1.

      En même temps, Hotmail conserve les mots de passe en clair… Je le sais, car j’ai une amie qui n’arrivait plus à se connecter à son compte (il me semble que c’était l’été dernier), alors qu’elle était sûre de bien connaître son mot de passe : c’était un truc long mais très simple à mémoriser. En fait, le problème venait du fait que Hotmail avait réduit la longueur maximale des mots de passe (à 16 si je me souviens bien), et tronqué les mots de passe existants : il lui a suffit de taper les 16 premiers caractères pour que ça passe.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.