Bonjour à tous,
Comme moi, peut-être vous-êtes vous un jour posez cette question : « que se passe-t-il si je n'ai plus accès à ma boîte mail et que je ne me rappel plus de la réponse à ma question secrète » ? Et, comme moi, peut-être l'avez vous refoulée bien vite en vous disant que de toute manière cela ne vous arriverai jamais. Aujourd'hui, j'ai la réponse à cette question en ce qui concerne les comptes Yahoo et je tenais à vous en faire part tant elle est étonnante.
Tout d'abord, les faits : ma mère (ben oui, vous pensiez franchement que cela arriverait à un Linuxien chevronné ? :p) dispose d'un compte Yahoo depuis plusieurs années et utilise Outlook pour rapatrier et envoyer ses courriels. Seulement voilà, à cause d'une mauvaise manipulation dont j'ignore encore la nature, son adresse a été subtilisée et utilisée pour envoyer des tonnes de pourriels. Aussi, nous nous sommes rendus sur le site de Yahoo, et avons tenté de nous connecter, mais cette possibilité nous a été refusée sans répondre à une question secrète. Évidemment, la question et sa réponse datant d'il y a plusieurs années et ces dernières n'ayant jamais servi, il nous a été impossible de remettre la main dessus…
Dès lors, que faire sachant qu'il était exclus d'abandonner ce compte ? Hé bien, il nous était possible de demander de l'aide par courriel (j'attends toujours une réponse, d'ailleurs). Cependant, comme cela était un peu urgent, nous avons tenté de joindre Yahoo par téléphone. En effet, après une brève procédure nous demandant de décrire notre problème et de fournir une autre adresse courriel, en plus d'envoyer notre demande afin qu'elle soit (peut-être) traitée, nous avons eu droit à un joli numéro de téléphone (français) nous précisant que leurs bureaux ne sont ouvert que de 9h00 à 17h00. Comme il était plus de 20h00 lorsque nous avons lu cela, nous avons attendu le lendemain.
Le lendemain, nous essayons de joindre Yahoo à l'aide du numéro de téléphone fourni, mais ce dernier sonne constamment occupé. Dans le doute, nous appelons les renseignements (oui, cela existe encore) et un monsieur fort aimable nous précise qu'il est impossible de joindre Yahoo à l'aide de ce numéro et qu'en vérité, il est nécessaire de les joindre à leur siège social qui est situé, je vous le donne en mille, à Dublin…
Qu'à cela ne tienne, nous tentons le coup (de téléphone) et obtenons une dame à l'autre bout du fil qui ne parle évidemment pas français. Et c'est là que cela devient (enfin) intéressant : après une brève explication du problème, elle nous demande simplement une autre adresse courriel qu'elle place dans les paramètres du compte indisponible comme adresse de secours. Après quoi elle nous envoie un code nous permettant de réinitialiser le mot de passe et les questions secrètes. Cependant, pas une seule fois elle n'a essayé de savoir si nous étions bien les véritable titulaire du compte, par exemple en demandant les derniers courriels reçus ou quelques informations personnels. Rien, juste une autre adresse courriel…
Ce qui m'amène à me poser une question élémentaire (autre que le coût de cette communication) : qu'est ce qui empêche une personne mal intentionnée de faire de même afin de prendre le contrôle d'un compte dont elle n'est pas l'utilisatrice légitime ? Aussi, comme cela se passe-t-il du côté des autres grands sites comme Google ?
# Social engineering
Posté par zebul0n (site web personnel) . Évalué à 10.
Tu viens d'effectuer ce que l'on appelle couramment du social engineering.
Normalement, les boites un peu sérieuses sont formées face à cette menace. Yahoo fait preuve de laxisme de ce point de vue, ce n'est ni la première, ni la dernière boite ayant aussi peu de considération pour la sécurité des comptes de leurs utilisateurs cependant …
[^] # Re: Social engineering
Posté par Anonyme . Évalué à 10.
free.fr demande l'envoi d'une copie de pièce d'identité par voie postale, je trouvais ca chiant, mais finalement on ne peut pas avoir la rapidité ET la sécurité.
Un proverbe dit, ceux qui préfère la rapidité a la sécurité ne mérite ni l'un ni l'autre, ou un truc comme ça…
[^] # Re: Social engineering
Posté par Zenitram (site web personnel) . Évalué à 4. Dernière modification le 25 juillet 2013 à 22:23.
mmm… Et ensuite, il se passe quoi?
Parce que ma copie de pièce d'identité, c'est un peu aussi tout le monde (à commencer par mon employeur, la mairie, la CAF… Et aussi Paypal et j'en passe) qui l'a.
Donc derrière, il faut autre chose (envoi du reset que par voie postale?)
Avec tous les bases de pass qui ont fuité ces derniers mois, mes mots de passe sont pas mal dans la nature (haché/salé certes, mais quand même), et je commence aussi à avoir des données sensibles (et perso), je me demande ce qu'il faut que je fasse pour sécuriser tout ce bordel avec tous les défauts de tout ce monde.
(je rajoute que je me suis aussi fait hacké mon pass facebook vide certes mais sur le principe, je en sais pas comment, et j'ai pu reprendre le contrôle car le système Facebook me permet de reprendre la main avec mon ancien pass pendant un certain laps de temps, ouf mais il ne faut pas non plus être pressé de changer un pass compromis du coup, le pass compromis ayant une durée de vie assez longue. Donc en gros l'année 2013 est pour moi une grosse attaque contre mes pass, il faut que je fasse quelque chose, je commence à mettre du truecrypt partout aussi, mais avec les failles des autres, je me demande si tout ça va suffire, sans toutefois que je perde l'accès moi-même, mais bon, on ne peut pas tout avoir)
Bon, déjà, première chose que je vais faire : enlever Yahoo mail des adresses de secours que j'utilise.
[^] # Re: Social engineering
Posté par Lomig E . Évalué à 3.
Chez Blizzard, s'il y a un doute sur l'origine de la pièce d'identité dans le cas où quelqu'un pourrait en avoir également une copie, ils demandent un mixte entre ces deux vérifications : Deux pièces d'identité, ou les pièces d'identité photographiées sur un journal daté du jour. Ça permet de séparer celui qui les a de celui qui n'a que des copies.
J'imagine qu'un expert de génie pourrait assez bien truquer une telle photo pour ajouter la plastification et la gravure sur la carte, le reflet de la lumière, la vue d'une partie du journal déformée sous les rebords en plastique, le relief et les ombres portées sur le quotidien, ou la date et le sujet de la une pour matcher une une réelle, mais le risque semble vraiment minimal, et on touche la à une falsification assez experte d'identité.
[^] # Re: Social engineering
Posté par zebul0n (site web personnel) . Évalué à 3.
Startcom demande au titulaire de la carte d'identité ou du passeport d'être pris en photo avec le titre en question dans les mains, pour ensuite l'envoyer par e-mail. J'ai cru voir ça un moment, je n'ai pas vérifié si c'était toujours d'actualité.
C'est une autre variante.
[^] # Re: Social engineering
Posté par Anonyme . Évalué à 3.
a mon Leclerc du coin lorsque tu paye par cheques il scan ta pièces d'identité :o, j'en suis tellement horrifié que je paye plus qu'en liquide ou CB. J'avais demandé ce qu'ils en faisaient, la réponse "on sait pas" ne m'avait pas énormément encouragé.
Il va falloir finir par s'authentifier par certificat, plutôt que par mots de passe, j'ai lu quelques article assez impressionnant sur le cassage de mots de passe de md Michu avec les cartes graphiques.
pendant ce temps ma banque continue le mots de passe avec chiffre uniquement et pas plus de 6.
[^] # Re: Social engineering
Posté par ✅ ffx . Évalué à 1.
à la banque postale c'est ça en tout cas
[^] # Re: Social engineering
Posté par NilugeKiWi . Évalué à 4.
Si c'est scanné on peut supposer qu'il y a traitement informatique derrière, au quel cas ils sont censé t'informer de tout ça avec la loi informatique et libertés (tout ça étant l'existence de ce traitement, et ce qui est fait/stocké et pourquoi).
Ça peut valoir le coup de demander ça la prochaine fois.
[^] # Re: Social engineering
Posté par Anonyme . Évalué à 1.
ce qui m'inquiete c'est qu'apple, OVH etc … se font pirater leur base avec les données, j'imagine très facilement qu'a mon Leclerc les petits hackers chinois font leurs courses tous les jours sans que personne ne s'en rendent compte ! Quand j'avais fait ma demande leur yeux rempli de " ah merde un casse couille, je vais l’embrouiller" m'incite a prendre le silence assez rapidement.
c'est dommage car c'est le moins chère de ma région a produit identique
[^] # Re: Social engineering
Posté par Xavier Teyssier (site web personnel) . Évalué à 4.
Quand j'avais fait ma demande leur yeux rempli de " ah merde un casse couille, je vais l’embrouiller"
En même temps, si tu as posé ta question directement dans le magasin où tu as fait tes courses, ça me paraît un peu normal.
Pour savoir ce qu'ils font des données qu'ils numérisent, à mon avis, il vaut mieux que tu t'adresses directement au siège. En tout cas, à un service communication qui lui devrait savoir rediriger la question aux personnes compétentes.
Je doute que le magasin local maîtrise le fonctionnement interne de leur système d'information. Et ça ne me choque vraiment pas.
[^] # Re: Social engineering
Posté par Anonyme . Évalué à 3.
toutafé, écrire une lettre ou la réponse sera, ne vous inquiétez pas tout est sécurisé. Ce n'est pas une perspective qui m'enchante n'ont plus. Déjà a ma banque j'avais demandé des précisions sur leur faiblesse de mots de passe: tout va bien ! il n'y a jamais eu de problème.
poser des questions qui nécessite un peu de réflexion et avoir une réponse fait par un stagiaire avec ma lettre dans la poubelle dans la minute, bof. Pour que cela soit un peu plus lu il faut l'envoyer en recommandé : 6 euros.
pour répondre a tes conseils judicieux, comme j’élève seule 2 enfants de 8 et 7 ans j'ai un peu autres choses à faire, surtout avec la reforme du temps scolaire de l'année prochaine :'(
[^] # Re: Social engineering
Posté par ckyl . Évalué à 1.
Bha alors pourquoi tu casses les couilles à un mec dont tu sais pertinemment qu'il n'a ni la réponse, ni la moindre action possible ? T'as pas le temps, lui non plus…
[^] # Re: Social engineering
Posté par Anonyme . Évalué à 2.
tu as zappé :
[^] # Re: Social engineering
Posté par lasher . Évalué à 2.
Que le caissier ne sache pas répondre à la question, c'est normal. Que son chef (ou le chef du chef …) ne sache pas non plus, je trouverais ça assez ridicule.
[^] # Re: Social engineering
Posté par Marotte ⛧ . Évalué à 1. Dernière modification le 27 juillet 2013 à 00:38.
La réponse c'est surtout que ça se bloque au bout de trois essais, même si tu peux éventuellement « débloquer » par téléphone, forcer le mot de passe est impossible. Il est néanmoins conseillé de le changer souvent…
Tu sais que l'on peut aussi générer un numéro de carte bleu valide complètement au hasard ? La difficulté pour un éventuel malfaiteur c'est de récupérer l'argent, pas simplement d'accéder au compte. Il y a eu un coup il y a peu, genre quelques dizaines de millier de retraits presque au même moment, seul quelques personnes se sont faites repérer.
Bref : j'accède à ton compte en banque (nan je déconne c'est une supposition ;) je fais quoi ? Un virement sur mon compte ?
[^] # Re: Social engineering
Posté par Zenitram (site web personnel) . Évalué à 2.
J'avais cet argument aussi avant.
Avec les base de Sony, OVH… dans la nature, difficile de garder cet argument aujourd'hui.
Bon, pour les banques, leurs normes de sécurité (qu'OVH s'est décidé à prendre, mais que après le dump) sont au dessus, mais on n'est jamais à l'abri…
Bon, OK, maintenant il y a le double authentification pour ce genre d'action, c'est pas mal.
[^] # Re: Social engineering
Posté par Guillaume Rossignol . Évalué à 1.
Je crois que la question est surtout "comment je fais pour récupérer de l'argent de manière anonyme ?". Du coup, pour répondre à la question d'origine, j'irai pas faire un virement sur un compte francais en ayant accés au compte de quelqu'un, mais on doit pouvoir trouver des banques peu scrupuleuse où on peut ouvrir un compte sous un faux nom.
[^] # Re: Social engineering
Posté par Adrien . Évalué à 4.
Changer tous les mots de passe, avoir un mot de passe différent pour chaque service, des mots de passe assez fort (entre 12 et 20 caractères, avec majuscules, minuscules, numéro). Je suppose que tu l'as déjà fait, mais peut-être dans ceux qui nous lisent il y a des débutants dans le même cas que toi.
Ensuite il n'y a pas de miracle : le meilleur moyen de ne pas se faire hacker son compte facebook/yahoo c'est de ne pas en avoir… Avoir un compte quelque part implique de donner sa confiance dans la sécurité du service en question.
[^] # Re: Social engineering
Posté par claudex . Évalué à 5.
C'est le meilleur moyen d'avoir quelqu'un qui créé le compte pour toi et se fait passer pour toi. Je connais un gars à qui c'est arrivé, tout le monde qui ne le connaissait pas de près croyait qu'il était gay et qu'il insultait tout le monde. C'est quand même bien chiant.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Social engineering
Posté par Adrien . Évalué à 4.
Là à mon avis c'est plus un problème légal que technique. Si tu es obligé de créer un compte pour chaque service qui existe (facebook, google+, mediapart, rue89, linuxfr, etc.) pour pas qu'on te pique ton identité c'est très problématique.
Mais en attendant peut-être que les lois sont à la traîne sur ce sujet. Comment juger un afgan qui te pique ton identité sur un service aux USA ? pas simple.
[^] # Re: Social engineering
Posté par claudex . Évalué à 1.
D'accord, mais en attendant que les lois s'adaptent, il faut bien trouver une solution.
Au moins le plus connu (Facebook) et peut-être un ou deux autres (Twitter) si tu veux être sûr. Ça couvre une partie de tes connaissances qui peuvent relayer les messages d'autres réseau où il y aurait un problème. C'est problématique mais tu n'as pas vraiment le choix.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Social engineering
Posté par Sufflope (site web personnel) . Évalué à 3.
Ah ?
[^] # Re: Social engineering
Posté par claudex . Évalué à 3.
J'aurais dû formuler autrement : Tout le monde qui ne le connaissait pas de près croyait qu'il avait changer d'orientation sexuelle
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Social engineering
Posté par Marotte ⛧ . Évalué à 1. Dernière modification le 27 juillet 2013 à 00:48.
Le monde qui le connaissait de près ne savait pas qu'il n'utilisait pas facebook ? Genre personne lui a dit : « Et blabla sur facebook blabla…» et il aurait pu se poser des questions ?
C'est vraiment con pour lui mais c'est clairement quelqu'un de son entourage (probablement très proche) qui a voulu lui nuire.
Je perds pas espoire parce que je vois autour de moi que les gens sont quand même en train d'en revenir de facebook. De ses implications sur les relations humaines…
[^] # Re: Social engineering
Posté par claudex . Évalué à 3.
C'est comme ça qu'il l'a découvert.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Social engineering
Posté par Parleur . Évalué à -4.
(sic)
[^] # Re: Social engineering
Posté par claudex . Évalué à 5.
Je n'ai pas parler de honte, c'est quand même bizarre de lire à côté de la plaque à ce point.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 2. Dernière modification le 27 juillet 2013 à 12:29.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Social engineering
Posté par Parleur . Évalué à -3.
J'ai juste foire ma citation en ne passant pas a la ligne entre la citation reelle et mon ajout sur la honte. :/
Ceci expliquant cela a propos du sic. :)
[^] # Re: Social engineering
Posté par Zenitram (site web personnel) . Évalué à 1.
On peut aussi parler sérieusement et ne pas passer pour ridicule dans les conseils qui font passer la personne qui parle pour un autiste à ne pas écouter. En plus de ce qu'a dit Xavier, c'est tout simplement pour certaines personnes aussi utile qu'un téléphone mobile (il y en aussi qui disent que le mieux est de ne pas en avoir, certes…) et leur dire que le meilleur moyen c'est de ne pas en avoir est juste ne pas savoir s'adapter aux gens.
Sinon, le meilleur moyen de ne pas avoir d'accident en dehors de chez soit est de ne pas sortir de chez soit (mais ça n'enlève pas le danger des accidents domestique, attention de ne pas aller à la cuisine non plus).
[^] # Re: Social engineering
Posté par barmic . Évalué à 4.
C'est aussi très près du « dis moi ton besoin, je t'expliquerais comment t'en passer ».
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: Social engineering
Posté par Adrien . Évalué à 2.
Je n'avais effectivement pas pensé à l'usurpation d'identité…
Ok donc explique-moi sérieusement et sans ridicule comment tu peux utiliser un service web sans avoir confiance dans ce service ? Comment utiliser Yahoo de façon sécurisé sans avoir confiance dans leur manière de gérer les mots de passe ? Autrement qu'avoir un minimum confiance, je ne vois pas comment c'est possible.
[^] # Re: Social engineering
Posté par barmic . Évalué à 2.
Tu fais confiance en ta banque ?
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: Social engineering
Posté par Adrien . Évalué à 3.
oui j'ai plus confiance en ma banque qu'en mon matelas, malgré que c'est une banque avec risque systémique, qui cherche à m'entuber au moindre faux-pas…
Si je n'avais pas confiance, alors pourquoi j'irais mettre mes sous là-bas ??
[^] # Re: Social engineering
Posté par barmic . Évalué à 2.
Voila c'est bien ce que tu dis. La confiance ce n'est pas quelque chose de binaire.
Parce qu'il y a beaucoup de situations où avoir un compte en banque est une obligation.
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: Social engineering
Posté par cosmocat . Évalué à 2.
Et qu'une banque fourni quand même des services assez utiles/agréables : CB, paiement sur Internet,…
[^] # Re: Social engineering
Posté par Adrien . Évalué à 1.
Tout à fait. Le point soulevé par Zenitram était de savoir quoi faire pour sécuriser ses mots de passe, dans le cas où les services externes font n'importe quoi.
Dans ce cas, perso je ne vois toujours pas de solution. As-t-on une autre solution que de faire confiance aux services en question ??
[^] # Re: Social engineering
Posté par Zenitram (site web personnel) . Évalué à 0.
Toi, tu es pote avec les gens qui disent que la seule solution pour éviter le VIH, c'est l'abstinence (qui est une méthode, certes, ils n'ont pas tort la dessus).
D'autres pensent qu'on peut trouver d'autres moyens moins abrupts.
[^] # Re: Social engineering
Posté par Adrien . Évalué à 2.
Pour que l'analogie soit correcte, je dirais plutôt que pour se protéger du VIH, soit tu fais confiance à ton partenaire un minimum, soit c'est effectivement l'abstinence. La nuance est très importante :) Tu fais l'amour avec des gens en qui tu n'a aucune confiance qu'ils se protègent bien contre le VIH toi ?
Lesquels ? Sérieusement, en tant qu'admin sys ça m'intéresse, mais pour le moment je ne vois pas tellement de solution.
[^] # Re: Social engineering
Posté par Renault (site web personnel) . Évalué à 4.
Si t'es protégé, si l'autre l'a ou pas théoriquement tu ne cours aucun risque, voire faible.
Le préservatif est là pour se protéger si tu n'as pas confiance en l'autre ou si l'autre est malade. S'en dispenser nécessite de la confiance quoiqu'il arrive.
[^] # Re: Social engineering
Posté par 2PetitsVerres . Évalué à 5.
Ça c'est une méthode pour ne pas procréer. Techniquement ça ne suffit pas pour être sûr de ne pas avoir le VIH. Bon, ça évite 98-99% des cas d'infection, mais il y a quelque autres possibilités d'infections.
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
[^] # Re: Social engineering
Posté par Xaapyks . Évalué à 2.
correcthorsethatsabatterystaple…
[^] # Re: Social engineering
Posté par Marotte ⛧ . Évalué à 3.
La caractère « point de suspension » dans un mot de passe c'est pas mal, mais si tu dois le taper via SSH depuis un Windows avec la disposition clavier par défaut, bon courage ! ;)
[^] # Re: Social engineering
Posté par Sufflope (site web personnel) . Évalué à 2.
Sur le même registre, je me demande quelle est la résistance d'une dizaine d'espaces comme mot de passe.
Contre du bruteforce pur, autant que n'importe quelle série de caractères de même longueur, mais contre du dictionnaire ?
[^] # Re: Social engineering
Posté par Zenitram (site web personnel) . Évalué à 2.
Facile, ce mot de passe est interdit (oui, OVH m'interdit un espace en début et fin de mot de passe : "8 à 31 caractères. Ne pas commencer ni terminer par une espace". Pas encore compris la raison d'une telle limitation)
OK, ça ne répond pas à la question (est-ce que les dicos de pass contiennent ce mot de passe), mais les espaces m'ont fait penser à cette limitation arbitraire quand j'ai changé mon pass suite au dump de leur base de pass.
[^] # Re: Social engineering
Posté par 2PetitsVerres . Évalué à 3.
Probablement quelque chose comme "pour être sûr que vous avez tapé le bon mot de passe, tapez-le dans bloc note en clair, et copiez-collez le", associé à une vérification que la personne n'a pas copié collé un espace de trop. Bon il faut que la page de login annonce "votre mot de passe commence/termine par une espace" pour que ça marche, pas uniquement le serveur quand il reçoit le mot de passe pour le changer.
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
[^] # Re: Social engineering
Posté par Xaapyks . Évalué à 3.
A mon avis le bruteforce pur et dur doit faire des concessions s'il veut trouver quoi que ce soit en un temps raisonnable.
Du coup je pense qu'il faut se limiter à [a-zA-Z], voire éventuellement [a-z].
Si on commence à y inclure toute la table ASCII voire encore plus (utf8) ça n'est plus rentable.
[^] # Re: Social engineering
Posté par Thierry Thomas (site web personnel, Mastodon) . Évalué à 5.
L’intérêt, c’est surtout de pouvoir l’écrire sur un post-it collé en vas de l’écran en toute sécurité.
[^] # Re: Social engineering
Posté par Xaapyks . Évalué à 2.
Tiens je n'ai pas entré le caractère '…', il y a un intermédiaire qui a remplacé mes '.'{3} en '…'. Surement le formulaire DLFP car je poste depuis un Windows :-/
[^] # Re: Social engineering
Posté par Marotte ⛧ . Évalué à 1.
+1 C'est totalement vrai.
Même si on peut faire ce qu'il faut en solidité de mot de passe et bonne gestion (ne pas les laisser traîner) pour ne pas être à la merci de son voisin ou du Kévin Hacker du quartier (ou d'un quartier loin sur la planète) on est pas forcément à l'abri d'un manque de déontologie de certains fournisseurs, de leur techniciens…
[^] # Re: Social engineering
Posté par cosmocat . Évalué à 4.
Effectivement, on est bien démuni mais outre mettre des mots de passe carabinés (genre un mot de passe complexe avec un suffixe différent pour chaque site), tu peux essayer :
[^] # Re: Social engineering
Posté par zebul0n (site web personnel) . Évalué à -2.
Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l'une ni l'autre, et finit par perdre les deux.
Benjamin Franklin.
Je ne sais pas si c'est ce à quoi tu fais allusion, mais il ne s'agit pas de rapidité …
[^] # Re: Social engineering
Posté par deasy . Évalué à 7.
Second degré monde on !
Il n'y en a qui en manque !
Il l'a modifiée exprès :p
[^] # Re: Social engineering
Posté par zebul0n (site web personnel) . Évalué à 5.
Désolé, je ne suis pas drôle aux fêtes …
[^] # Re: Social engineering
Posté par deasy . Évalué à 1.
monde on ! hum hum…MODE bien sûr !
[^] # Re: Social engineering
Posté par Marotte ⛧ . Évalué à 10.
Le problème avec les citations sur internet c'est qu'on ne peut jamais être sûr.
Benjamin Franklin.
[^] # Re: Social engineering
Posté par totof2000 . Évalué à 4. Dernière modification le 26 juillet 2013 à 00:20.
Voici une citation fort à propos :
"Citation. Répétition erronée d'une déclaration d'autrui." - Ambrose Bierce
J'aime bien aussi celle là :
« Les citations, c'est de la pensée en conserve : c'est pas cher, c'est pas toujours très bon, mais tout le monde en mange. » Nicolas Meyer
ou celle-là :
« Les citations sont à la pensée ce que le prêt-à-porter est au sur-mesure… » Alain Remi
Mais celle que je cherchais en l'occurence c'est celle-là :
« L'art de la citation est l'art de ceux qui ne savent pas réfléchir par eux-mêmes. » Voltaire
Merci wikipedia
[^] # Re: Social engineering
Posté par deasy . Évalué à 2.
"La faculté de citer est un substitut commode à l'intelligence"
[^] # Re: Social engineering
Posté par be_root . Évalué à 3.
Somerset Maugham
Une citation, sans mention de l'auteur est elle encore une citation ? (moi)
Il se prend pour Napoléon, son état empire.
[^] # Re: Social engineering
Posté par deasy . Évalué à 1.
C'était pour vous laissez chercher.
ouhla je ne sais pas comment écrire ça "vous laiss?? chercher"
[^] # Re: Social engineering
Posté par Marotte ⛧ . Évalué à 2.
C'est de l'infinitif, c'est évident en remplaçant le verbe :
c'était pour vous prendre
c'était pour vous cuire
…
ou encore mieux :
c'était pour vous faire chercher
[^] # Re: Social engineering
Posté par deasy . Évalué à 1. Dernière modification le 26 juillet 2013 à 21:08.
Merci !
Ballot j'aurais du y penser !
[^] # Re: Social engineering
Posté par Maclag . Évalué à 3.
A sa place, je dirais que non, ce n'est pas vraiment une citation…
[^] # Re: Social engineering
Posté par pmoret (site web personnel) . Évalué à 3.
"Une citation c'est quelque chose que quelqu'un de célèbre a dit après sa mort." Albert Einstein
[^] # Re: Social engineering
Posté par fearan . Évalué à 2.
Un proverbe chinois dis que lorsqu'on a rien à dire, on cite un proverbe chinois.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Social engineering
Posté par jigso . Évalué à 2.
C'est pas Victor Hugo ?
[^] # Re: Social engineering
Posté par Renault (site web personnel) . Évalué à 10.
Non Victor Hugo a lancé le tweet suivant :
[^] # Re: Social engineering
Posté par Sam E. (site web personnel) . Évalué à 1.
[^] # Re: Social engineering
Posté par fravashyo . Évalué à 2.
T'es sûr ? Il me semblait que c'était une citation d'Aretha Franklin mais je me trompe peut-être.
« I approve of any development that makes it more difficult for governments and criminals to monopolize the use of force. » Eric Raymond
[^] # Re: Social engineering
Posté par Marotte ⛧ . Évalué à 2.
Je suis pas sûr.
[^] # Re: Social engineering
Posté par elboulangero (site web personnel) . Évalué à 1.
Je connais bien un truc dans le genre:
"Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l'une ni l'autre, et finit par perdre les deux."
Benjamin Franklin
J'adore cette citation, trop pertinente dans le monde d'aujourd'hui, alors que Franklin a vécu il y a plus de 2 siècles de ca…
[^] # Re: Social engineering
Posté par Maclag . Évalué à 4.
Au contraire, je pense que Yahoo a des stats, et que ces stats leur disent qu'il vaut mieux que la manœuvre soit simple:
-Qui voudrait pirater le compte? Dans la très grande majorité des cas, c'est un spammeur, via un bot. Ni le spammeur ni le bot n'appellent Dublin pour récupérer un accès, trop de boulot par compte, il faut du volume.
-Si c'est un réel malfaiteur qui en veut à ton compte en particulier, il y a de bonnes chances que ce soit l'actuel usurpateur, qui n'a donc pas besoin d'appeler Dublin.
-Si c'est le malfaiteur qui a déjà accès au compte qui demande des infos personnelles, il va très certainement les trouver dans tes mails!
-Statistiquement, il y a plus d'utilisateurs qui paument leur accès bêtement que de malfaiteurs qui en veulent à un compte particulier sans avoir pu y accéder et qui vont jusqu'à appeler Dublin.
Donc Yahoo mise sur le fait que le social engineering, c'est l'exception plutôt que la règle, et qu'il vaut mieux 1 utilisateur fâché pour 10,000 qui diront que "Yahoo a réglé mon problème d'accès en moins de deux!" que 1 sauvé de justesse peut-être même sans le savoir pour 10,000 qui ne comprennent pas pourquoi on leur fait toutes ces misères pour un bête mot de passe perdu alors qu'on peut créer un compte GMail en 5min.
[^] # Re: Social engineering
Posté par zebul0n (site web personnel) . Évalué à 4.
La boite mail, c'est aussi l'endroit ou tu reçois tous les liens pour réinitialiser les mots de passe lorsque tu cliques sur "J'ai oublié mon mot de passe" sur n'importe quel service. (réseaux sociaux, registrars, boutiques en lignes)
Donc, si il y a bien un service qui doit être irréprochable sur la sécurité, c'est bien le mail.
Yahoo sont des gros nazes niveau sécurité, et se foutent complètement de leurs utilisateurs. La preuve en est qu'ils ont décider de remettre à la disposition de n'importe qui en ferait la demande des comptes mails qui n'ont pas été utilisés depuis plus d'un an.
Il aura fallu attendre 2013 pour que yahoo se décide à mettre en place SSL, et encore il faut l'activer toi même car inactif par défaut.
Si yahoo regardait ses stats de plus prés, ils comprendraient que leur service mail est tellement minable que ses boites ne sont maintenant plus utilisées que comme boite à spam. (Ceux qui l'utilise encore sérieusement le font pour des raisons historiques et ne souhaitent pas changer d'adresse.)
[^] # Re: Social engineering
Posté par Maclag . Évalué à 2.
Sincèrement, il y a combien d'utilisateurs que ça inquiète pour de vrai de tout balancer en clair?
Faudrait déjà commencer par éliminer le taux d'utilisateur qui ne comprend pas la question, puis ceux qui s'en foutent ou y réfléchiront 5min avant de s'en foutre (PRISM, ça a eu quoi comme impact concret sur l'attitude des gens face aux services américains? 0 absolu ou juste négligeable?).
Si je gère le business et que je regardes les stats, je me dis que ça vaut pas le coup de se faire chier…
[^] # Re: Social engineering
Posté par zebul0n (site web personnel) . Évalué à 3.
Ceux qui se connectent à leur webmail à partir de l'accès wifi-public de la terrasse d'un café, et qui ensuite viennent se plaindre de s'être piraté leur compte, parce que le fournisseur du service à une politique de sécurité minable …
[^] # Re: Social engineering
Posté par Taurre . Évalué à 1. Dernière modification le 26 juillet 2013 à 20:33.
maclag a écrit:
Tu trouves que téléphoner à Dublin pour récupérer l'accès à son compte est une manœuvre simple ? Moi pas, même si je sais me débrouiller en anglais.
[^] # Re: Social engineering
Posté par Maclag . Évalué à 2.
Par "simple", je veux dire que tu n'as pas besoin de fournir mille et une preuve que c'est bien toi au bout du fil.
[^] # Re: Social engineering
Posté par Taurre . Évalué à 2.
maclag a écrit :
Ok, de ce côté, nous sommes bien d'accord.
Toutefois, je pense tout de même qu'il est possible de demander une ou deux informations sans pour autant rendre la procédure longue ou fastidieuse. Aussi, si Yahoo était si soucieux de la facilité et de la rapidité de la procédure de récupération de compte, je pense qu'il aurait pris la peine de mettre en place un service client francophone (parce que bon, tout le monde ne sait pas se débrouiller avec une opératrice anglophone).
# Vol d'identité
Posté par claudex . Évalué à 10.
C'est comme ça que le vol d'identité numérique peut commencer http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
# Et pour faire ça sans laisser de trace
Posté par Marotte ⛧ . Évalué à 2.
Les opérateurs te permettent d'ouvrir une ligne ou de débloquer un portable sur un numéro de carte de CI complètement au hasard donné par téléphone :)
[^] # Re: Et pour faire ça sans laisser de trace
Posté par oinkoink_daotter . Évalué à 1.
oui mais non. Tu as 15 jours pour envoyer une photocop recto verso à ton opérateur, sinon couic.
Quelque soit le type de ligne : forfait, prépayé, bicphone, whateva'.
Réglementation du SGDSN.
[^] # Re: Et pour faire ça sans laisser de trace
Posté par Marotte ⛧ . Évalué à 4.
15 jours ça permet de faire des trucs…
[^] # Re: Et pour faire ça sans laisser de trace
Posté par oinkoink_daotter . Évalué à 1.
anéfé.
[^] # Re: Et pour faire ça sans laisser de trace
Posté par fearan . Évalué à 2.
Ouais enfin certains opérateurs ne sont pas très strict sur cette règle; et je suis persuadé que tu peux prendre une photocopie spécimen, ouvrir gimp pour virer spécimen, flouter un poil le tout et ils l’acceptent. Vu la qualité que laposte mobile à accepté (une photo très floue prise par un téléphone portable), je doute qu'ils soient très regardant.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
# Yahoo est pas vraiment sérieux
Posté par Marotte ⛧ . Évalué à 4. Dernière modification le 25 juillet 2013 à 22:51.
Pour déverrouiller le compte ils auraient pu au moins exiger une adresse géographique est envoyer un de leur hotliner sur place (ça lui aurait fait les pieds) pour constater l'honnêteté de l'internaute de visu…
Google a de l'avance dans ce domaine grâce à la Google Car :)
Je suppose qu'elle y a été un peu au juger, après tout quand tu as appelés tu étais sincère et tu voulais juste la solution pour récupérer le compte, tu as peut-être laissé passer quelques trucs :)
Une solution pourrait être une lettre, recommandé pourquoi pas. Ça limiterait sûrement.
Mais l'équilibre est dur pour Yahoo entre sécurité et satisfaction client… Si t'avais du passer par deux mois de paperasses et vingt coups de fil tu aurais aussi dénoncé grave sur Yahoo :)
[^] # Re: Yahoo est pas vraiment sérieux
Posté par Taurre . Évalué à 0.
Marotte a écrit:
Non non, je n'ai vraiment fourni aucune information si ce n'est le compte indisponible, l'adresse de secours et le fait que ma langue maternelle est le français. Bon, elle aurait peut-être eu des doutes si j'avais eu un accent russe, m'enfin en l'occurrence elle n'a pas eu d'autres informations.
Marotte a écrit:
Effectivement, j'aurais également râler sur Yahoo si j'avais dû attendre deux mois pour retrouver un accès au compte, mais pas pour les mêmes motifs. :p
Cependant, je pense qu'il y a quand même moyen de s'assurer un minimum de l'identité de la personne. Il y a un exemple d'informations demandées du côté de hotmail donné par ffx un peu plus bas qui me paraissent tout à fait pertinentes.
# Du professionnel, du propre
Posté par needs . Évalué à 3.
Il m'est arrivé la même avec ma mutuelle, je n'avais pas reçu pour une raison inconnu mes identifiants pour accéder à mon dossier, j'ai téléphoné, et pas une seule question pour savoir si celui qui est à l'autre bout du fil est bien celui à qui le dossier est destiné.
De mémoire, c'est une "faille de sécurité" utilisée assez tôt dans l'ère de l'informatique. Si je me souvient bien, le livre Underground de Julian Assange faisait mention de ce type d'action.
[^] # Re: Du professionnel, du propre
Posté par zebul0n (site web personnel) . Évalué à 5.
C'était une des spécialités de Kevin Mitnick, cette technique est abordée dans son livre "Ghost in the wires".
C'est comme tu le dis une technique utilisée assez tôt dans l'ère de l'informatique, aujourd'hui on peut appeler ça aussi la faille entre la chaise et le clavier, mais du coté du fournisseur du service.
Mais ça n'est évidemment pas spécifique à l'informatique.
[^] # Re: Du professionnel, du propre
Posté par Joris Dedieu (site web personnel) . Évalué à 0.
Moi avec les impôts. Il y a trois ans, j'oublie totalement de faire ma déclaration. A J - 1 je me rends compte que mon certificat est expiré et que les trois infos nécessaires pour me connecter (de mémoire trois nombres qu'on trouve sur deux papiers différent) sont dispersés au 4 vent.
J'envoie un mail à une adresse @impots.gouv.fr que j'avais déjà contacté pour une autre question en gueulant que c'est inadmisible de faire expirer mon certificat à J -1. Le lendemain je reçois tout le nécessaire pour m'identifier.
[^] # Re: Du professionnel, du propre
Posté par ckyl . Évalué à 6.
Tu peux aussi ne pas gueuler et être poli. Le monsieur, ou la madame, il n'y est pour rien que tu attends J-1 et que tu as dispersés tes papiers aux 4 vents. Même si tu as tout perdu, tu leur demande simplement le montant (qui de toute facon est publique) tu leurs balances un chèque dans la boîte et ca passe tout seul.
[^] # Re: Du professionnel, du propre
Posté par Dr BG . Évalué à 3.
Ils ont sans doute vérifié que l'expéditeur du courriel correspondait bien à ton adresse (normalement, ils la connaissent).
P.S. : je précise pour les lecteurs premier degré que c'est de l'humour (même si c'est peut-être la triste réalité).
# Téléphone
Posté par neil . Évalué à 6.
En même temps, elle a peut-être faire une recherche inversée sur le numéro de téléphone qui l’appellait et vérifié qu’il correspondait bien au nom dans l’adresse e-mail, ainsi qu’à la géolocalisation des IPs depuis lesquels les e-mail étaient récupérés. :-D
[^] # Re: Téléphone
Posté par totof2000 . Évalué à 10.
Meuh non, elle est connecté en direct à la NSA. D'ailleurs tu urais plutot du les contacter directement pour obtenir la réponse à ta question secrète.
[^] # Re: Téléphone
Posté par Taurre . Évalué à 3.
J'y ai pensé, mais cela me serait revenu plus cher qu'un appel vers Dublin. :p
[^] # Re: Téléphone
Posté par jigso . Évalué à 3.
En fait tu crois que tu appelais Dublin, mais en vrai tu as été redirigé vers la hotline de PRISM, autant virer les intermédiaires (on reconnait bien là le pragmatisme économique des américains)
# Spam
Posté par Wawet76 . Évalué à 7.
Ça aurait peut-être été moins simple si la boite mail n'avait pas été utilisée pour balancer du spam.
[^] # Re: Spam
Posté par Taurre . Évalué à 1.
Effectivement, je n'y ai pas pensé sur le moment même, mais c'est bien possible.
[^] # Re: Spam
Posté par calandoa . Évalué à 2.
Mes contacts Yahoo se divisent en trois catégories :
- ceux qui se sont fait piraté leur compte et m'ont envoyé du spam,
- ceux qui se sont fait piraté leur compte et vont m'envoyer du spam,
- ceux qui vont se faire pirater leur compte et vont m'envoyer du spam.
Il y a bien une 4ème catégorie : l'armée des 12 Terminators en Delorean, mais elle ne fait pas partie de mes contacts.
Plus sérieusement, je me suis toujours demandé si il y avait un mec chez Yahoo qui revendait les mots de passes toute les semaines ou si leur système était une passoire totale. Le plus étrange, alors qu'on a sans arrêt des annonces de plein de site qui nous annoncent des fuites de données personnelles, on en a jamais de Yahoo. Peut être que l'information est tellement banale qu'elle n'est pas relayée ?
[^] # Re: Spam
Posté par Maclag . Évalué à 4.
Ou encore mieux: ils ne s'en sont toujours pas rendu compte, c'est la fête du slip tous les jours chez les spammeurs!
# Plan B
Posté par dinomasque . Évalué à 4.
Etape 1) Se rendre directement et physiquement à Dublin.
Etape 2) …
Etape 3) Profit ! faire la fête avec les Irlandais qui sont gentils comme tout
BeOS le faisait il y a 20 ans !
[^] # Re: Plan B
Posté par be_root . Évalué à 9.
Et qui ont la tête dans le cul le lendemain et font n'importe quoi avec ton compte de messagerie.
Il se prend pour Napoléon, son état empire.
# Hotmail
Posté par ✅ ffx . Évalué à 5.
En 2006(!) j'avais eu un souci sur hotmail, et voilà la liste des informations demandées par mail, à l'époque:
Donc pas de papiers d'identité demandés mais plusieurs informations pertinentes.
J'avais pu récupérer mon compte grâce à cela, mais l'attaquant avait effacé tous les emails et il n'a pas été possible de récupérer mes spams :(
[^] # Re: Hotmail
Posté par Marotte ⛧ . Évalué à 2.
Le point 5 c'est sympa si tu as changé de fournisseur entre temps :)
[^] # Re: Hotmail
Posté par Maclag . Évalué à -2.
Laisse-moi tout démonter: si je suis le pirate, et que j'en veux à ton compte en particulier (donc pas un spammeur qui utilise des bots):
Si c'est ton adresse principale, il y a de bonnes chances qu'un jour dans ta vie tu aies envoyé tes coordonnées postales à quelqu'un, et elles y sont toujours.
Ta date de naissance est dans tes paramètres personnels, pour que Hotmail puisse te souhaiter ton anniversaire, ça fait chaud au coeur.
La dernière fois que tu t'es connecté avec succès à une marge d'erreur près? Si je suis le pirate, je rentre une date aléatoire entre celle du dernier email reçu et lu, et celle où j'ai piraté le compte.
J'écrirai que je ne me rappelle plus du tout quand j'ai créé le compte. Au pire je regarde si ça se trouve, ou les plus vieux mails archivés.
Je crois que je peux envoyer la liste des dossiers qui apparaissent si je me connecte à ta place.
Ton FAI t'as-t-il jamais écrit sur cette adresse? Ou en as-tu jamais parlé dans tes mails?
Je crois qu'on peut certainement retrouver au moins le nom de la boite dans laquelle tu bosses en accédant à ton email principal.
Je prétexterai que je ne comprends pas bien la question.
Et pour conclure, je dirais simplement que toutes ces vérifications ne sont pas si sures, mais le principe c'est que c'est trop de boulot pour un simple compte du point de vue du spammeur.
[^] # Re: Hotmail
Posté par Tony Flow . Évalué à 3.
Pas trop compris ton démontage…
Tu pars du principe que tu es le pirate ET que tu as déjà pris la main sur le compte de ta victime. Or la procédure décrite c'est ce que tu dois faire AVANT pour usurper l'identité du vrai propriétaire.
Donc tu n'as pas encore accès à toutes ces infos (profil, email) afin de tromper les contrôles d'hotmail.
Maintenant je ne dis pas que c'est infaillible pour autant, en cherchant bien ya surement moyen d'apporter une réponse crédible, avec des infos récupérées ici ou là (facebook, google, connaissance IRL de la personne…)
[^] # Re: Hotmail
Posté par groumly . Évalué à 1.
Et pourquoi diable est ce que t'appelerais hotmail si t'as deja acces a la boite, au juste?
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Hotmail
Posté par Thierry Thomas (site web personnel, Mastodon) . Évalué à 1.
En même temps, Hotmail conserve les mots de passe en clair… Je le sais, car j’ai une amie qui n’arrivait plus à se connecter à son compte (il me semble que c’était l’été dernier), alors qu’elle était sûre de bien connaître son mot de passe : c’était un truc long mais très simple à mémoriser. En fait, le problème venait du fait que Hotmail avait réduit la longueur maximale des mots de passe (à 16 si je me souviens bien), et tronqué les mots de passe existants : il lui a suffit de taper les 16 premiers caractères pour que ça passe.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.