Il semble y avoir une nouvelle vague de pourriels en circulation ces temps-ci. Une de leurs particularités est de vous communiquer spécifiquement un de vos mots de passe que vous utilisez par ailleurs.

It seems that machupicchu123 is your password

Comment est-ce possible ?

Comment peuvent-ils connaître un mot de passe que vous n’avez jamais communiqué en clair à quiconque ?

La piste suivante est pour le moins intéressante :

In May 2016, LinkedIn had 164 million email addresses and passwords exposed. Originally hacked in 2012, the data remained out of sight until being offered for sale on a dark market site 4 years later. The passwords in the breach were stored as SHA1 hashes without salt, the vast majority of which were quickly cracked in the days following the release of the data.

Source : https://haveibeenpwned.com/PwnedWebsites

En d’autres termes et sans entrer dans les détails techniques, 164 millions d’adresses de courriel et de mots de passe ont été dérobés à LinkedIn et c’est en 2016 qu’ils ont pu être finalement exploités par des pirates.

Comme la majorité des internautes continue à utiliser le même mot de passe pour différents services, y compris pour des services professionnels d’entreprise et privés ou de loisir, il est relativement aisé pour un pirate disposant de données ayant fuité d’un site comme LinkedIn, de tester le mot de passe d’accès au service pour accéder au compte de messagerie lié.

De plus, il peut relativement facilement tester d’autres services populaires, comme ceux proposés par les GAFAM (et affiliés), avec ce même mot de passe. Le pirate ne le fait pas manuellement; il utilise des méthodes automatisées qui peuvent réaliser des tests en masse.

Que faut-il faire pour s’en prémunir ?

Ce type de problème n’est possible que si deux conditions sont remplies :

  • L’internaute ne suit pas les bonnes pratiques en matière de sécurité informatique. Voir à ce sujet l’article Rappel : 15 recommandations pour améliorer la sécurité informatique.
  • L’internaute utilise des services globalisés concentrant des centaines de millions de comptes qui peuvent être dérobés par des pirates astucieux. itopie vous encourage à privilégier des services alternatifs plus transparents et moins intrusifs. Voir à ce sujet le site de Framasoft ou le blog ll-dd.ch.