Et voilà ! Cela n’arrive pas qu’aux autres, votre boite mail vient d’être hackée par un pirate. Peut se poser alors la question : mais que peut-il bien faire de ma boite de courriel ?
Je constate régulièrement que ceux à qui cela arrive ne réalisent pas du tout les problèmes auxquels ils sont exposés à cet instant, et je vais ici développer un scénario tout à fait probable de l’usage que peut faire un hacker de votre précieux sésame.
Pour cela je vais prendre un montage certes complexe à réaliser, mais bien juteux quant aux profits qu’il rapportera aux pirates, sans parler des conséquences qui pourraient amener certains d’entre vous devant les tribunaux !
La réalisation de l’opération prendra plusieurs semaines, mais avec un retour sur investissement incomparable.
Commençons !
***
MODIFICATIONS SUR LA BOITE MAIL
Ici le but est d’être le plus discret possible afin que la victime ne s’aperçoive de rien dans les jours/semaines qui suivent.
Et donc pour cela :
- Création d’un renvoi automatique d’une copie des courriels reçus et envoyés vers une boite appartenant au hacker : ainsi plus la peine dans l’immédiat de revenir sur celle du propriétaire.
- Aspiration de tous les courriels rentrants et sortants déjà présents, ainsi que la liste des contacts.
***
ANALYSE DES DONNÉES
Une fois tout en main et consultable à loisir, Jojo (nom de notre pirate) va éplucher la boite de réception ET la boite d’envoi.
Ainsi il va pouvoir lister les différents organismes et sites avec lesquels vous communiquez :
- Administrations
- Sécurité sociale
- Mutuelle
- Sites marchands
- FAI (Fournisseur d’Accès Internet)
- Fournisseur de ligne téléphonique mobile (parfois différent de votre FAI)
- Fournisseurs de services (EDF/GDF, chaines payantes, livraisons de surgelés, etc…)
- Établissements bancaires
- Comptes « Premium » : agence de voyage, compagnie aérienne, etc.
- Votre employeur
- Etc. la liste n’est pas exhaustive.
De tout cela il va en extraire :
- Votre numéro d’assuré social
- Votre adresse postale
- Vos identifiants de connexion
- Vos fiches de paie
- Vos factures de domiciliation
Et avec un peu de chance (pour Jojo), sur la boite d’envoi les photocopies de :
- Votre carte d’identité
- Votre passeport
- Votre carte bleue recto/verso
- Un mail où vous avez donné votre numéro de CB ou identifiants d’un site à un proche
Vous l’avez compris, énormément de choses confidentielles traînent sur nos boites.
Avec tout cela il va mieux vous cerner et vous catégoriser dans les « petits », « moyens » ou « gros » poissons.
***
MISE EN PLACE
Pas de chance pour vous, c’est à Jojo que vous avez affaire, et lui c’est un virtuose dans son domaine, une pointure, et qui va exploiter à fond tout ce qu’il a à sa disposition.
Jojo ce n’est pas un « gagne-petit », et il a les astuces techniques, les moyens et les contacts utiles pour mener à bien son entreprise.
En premier lieu il va soit cloner le téléphone portable, soit se faire livrer dans un boite à lettre « morte » un double de votre carte SIM.
Une boite à lettre « morte » c’est une boite à lettre abandonnée dans un immeuble ou une maison.
Bien entendu il aura au préalable changé votre adresse de domiciliation sur votre compte.
De là, il va utiliser des méthodes au choix pour ne pas que vous receviez d’alerte SMS sur votre mobile (redirection direct sur son téléphone équipé de votre carte SIM, ou bien sinon renvoi automatique sur un autre numéro).
Quelle que soit la manière, son but pour vous maintenir ignorant de ses agissements sera atteint.
Suivant votre localisation géographique il verra s’il a des contacts sur zone afin qu’ils agissent physiquement en votre nom pour certaines démarches.
Émission d’une ou plusieurs fausses cartes d’identité. Fausses, mais suffisamment bien contrefaites pour leurrer beaucoup de gens.
Modification (ou non) de la domiciliation sur les justificatifs de domicile, telle facture EDF/GDF, facture téléphonique, déclaration d’impôt, etc…
Avec tout cela, il (ou ses complices), va faire le tour des grandes surfaces, banques, établissement de prêt, etc… afin d’ouvrir des comptes avec obtention de cartes de payement/crédit.
En parallèle, récupération des comptes sur les différents sites d’achat en ligne, en utilisant le bouton « mot de passe oublié » pour récupérer le compte : si une carte bleue y est enregistrée, c’est que du bonheur.
Si un compte Paypal est existant, là c’est royal !!!
Il recevra sur (votre) la boite mail la méthode pour changer le mot de passe, et si un SMS de confirmation est envoyé, pas de problème non plus vu qu’il a cet accès aussi.
***
PASSAGE A L’ACTION
C’est le grand jour !
Jojo lance le top départ, et les complices se rendent dans les supermarchés et boutiques acheter vêtements, électroménager, télévision, informatique, etc… au frais de la princesse.
Jojo lui reste devant son écran, et passe commande un peu partout là où CB ou Paypal lui permettent de faire des achats, livraison bien entendu à une boite à lettre « morte », ou éventuellement achats sur des sites « complices » : Jojo comme je l’ai dit, il a les contacts « qui vont bien » partout à travers le monde.
Mais il va aussi infecter le Facebook (ou autres de ces sites dits sociaux), avec une photo-piégée ou un lien-piégé sur le mur, injectant un Malware sur l’ordinateur du visiteur qui aurait le malheur de cliquer dessus.
En parallèle envoi à tous les contacts de la boite mail d’un message contenant un lien ou une pièce jointe infectieux.
Eh oui, il lui faut de nouveaux « poissons » dans son vivier à l’affreux Jojo.
Le modèle de votre voiture tombe bien : une forte demande de fausses cartes grises sur ce modèle existe, et si en plus elle est vraie car fournie par l’administration….
Hop ! Direction le site de l’ANTS et demande d’une nouvelle carte grise, bien entendu avec l’adresse de l’autre boite à lettre.
Avec ce document en main, l’acheteur pourra faire faire de « vrais » plaques d’immatriculation, et rouler et stationner sans crainte de recevoir une amende… car c’est vous qui la recevrez !
Et en cas de contrôle routier, juste à prétendre qu’il a oublié son permis de conduire et autre pour que le document serve de justificatif : juste à bien mémoriser l’identité sur la carte grise et si amende c’est encore vous qui recevrez le courrier, les forces de l’ordre ne mettant pas en garde à vue pour défaut de présentation de permis de conduire (pour les petites infractions en tout cas).
Et puis il y a aussi l’obtention d’une carte VITALE (explication pour les non Français : c’est une carte qui permet normalement de ne pas payer directement la consultation chez un médecin, ou certains médicaments en pharmacie en France) : très pratique à posséder pour quelqu’un vivant illégalement en France, ou bien pour faire du trafic de médicaments.
Donc direction le site de la Sécurité Sociale pour en obtenir une.
Idem pour obtenir une carte de complémentaire de santé, facilement utilisable, entre autre, chez un opticien ou un dentiste.
Et pour en finir avec la partie « médicale », changement de la domiciliation bancaire pour toucher à votre place les remboursements !
Et puis si un abonnement existe sur une compagnie aérienne, achat de billets d’avion facilement monnayables.
Si vous êtes entrepreneur et avez une ligne de crédit chez un fournisseur, là aussi une commande livrable à l’adresse du choix de Jojo disparaîtra illico dès son arrivée pour être revendue ailleurs. Et la facture sera pour vous !
Bref, les possibilités sont nombreuses !
Et comme un sou c’est un sou pour Jojo, revente sur le DarkWeb de votre adresse mail et de celles de tous vos contacts : oui, des adresses mails valides et actives, ça se vend aussi.
***
RALENTIR LES INVESTIGATIONS
Afin que le pot-aux-roses ne soit découvert que le plus tard possible, Jojo va échelonner au mieux toutes les actions que nous avons vues, celles demandant un temps de traitement et d’expédition (carte VITALE, carte grise, achat chez votre fournisseur, etc.) en premier, les autres seront entreprises les jours suivants. Les correspondances diverses seront bien entendues effacées au fur et à mesure.
Il rendra aussi votre accès à votre boite mail impossible vers la fin de l’opération en changeant le mot de passe, et effacera aussi tous vos mails et contacts, ceci afin que vous ne puissiez pas immédiatement la rouvrir, et quand c’est fait, contacter vos amis et autres pour les prévenir.
Pareil sur la majorité de vos sites d’achat et 'dits' sociaux.
Pour ceux des administrations, il ne devrait pas modifier les mots de passe : ainsi beaucoup plus de chances que les diverses demandes ne soient découvertes que plusieurs mois après, voire pas du tout !
***
CONSÉQUENCES
Dans l’exemple décrit ici, elles peuvent être nombreuses :
- Blocage de votre Carte Bleue
- Lettres recommandées de divers établissements lésés
- Démarches nombreuses entre votre banque et la police/gendarmerie pour les dépôts de plainte
- Interdit bancaire et fichage à la Banque de France
- Délais qui peuvent être longs pour pouvoir à nouveau utiliser chéquier et CB
- Amendes provenant d’un autre véhicule qui roule avec vos plaques
- Impossibilité de vendre votre véhicule car il est réputé comme étant sous action judiciaire (eh oui….)
- Démarches administratives nombreuses, et qui peuvent durer de longues années
- Passage éventuel devant les tribunaux
- Etc.
Et tout cela, c’est à la base VOTRE FAUTE !!!
***
ORIGINE ET PRÉVENTION
Je le répète, c’est initialement de votre faute quand votre boite mail ou autre se fait pirater.
Car vous imaginez bien que Jojo a beau être un virtuose du clavier, il n’a pas le don de divination et a donc récupéré votre mot de passe par un moyen ou un autre.
Voici une liste des causes l’ayant aidé à obtenir votre sésame :
- Mots de passes (= mdp ) enregistrés sur votre navigateur : les abonnés ont pu constater qu’il est d’une simplicité déconcertante de pouvoir récupérer en un rien de temps tout mdp enregistré sur votre PC dans cet article : https://sospc.name/hacking-mots-passe-vol-1/ . Un simple script dans une pièce jointe fera encore plus vite pour piller votre PC.
- Même mot de passe sur tous les sites : on estime que 30% des gens utilisent le même mot de passe partout. Pratique pour ne pas l’oublier, mais il est aisé de comprendre que le site « la-culture-des-carottes.com », créé par Robert qui aime partager sa passion, n’est pas protégé efficacement vis-à-vis de hackers chevronnés. Associer l’adresse mail et le mdp n’est qu’un jeu d’enfant.
- « Tr-Tr-Tr-Tr » : oui, je parle-là de ces chaines d’envois de blagues et autres fichiers PowerPoint. C’est rigolo, ça détend, mais le défaut dans la cuirasse c’est que comme c’est Jean-Paul-le-bout-en-train qui vous envoie sa blague du jour, qu’il a reçue de Pierre, Paul et Jacques, vous n’êtes pas méfiant… et justement JP il s’est fait hacker sa boite d’envoi, et la pièce jointe c’est le pirate qui l’a mise !
- Téléphone portable sans protection : beaucoup n’imaginent pas que les Smartphones sont encore plus facilement piratables que les ordinateurs. Et bien entendu les mdp sont enregistrés dessus. Alors juste pour l’anecdote : j’ai « piraté » en 20 minutes chrono 40 téléphones dans un Mac Do proche de chez moi, et rapatrié sur mon PC portable toutes les données de 2 d’entre eux (photos, mots de passes, SMS, musiques, etc…), l’un sous Android et l’autre sous IOS/Apple. Démonstration suffisante ?
- Connexion depuis un PC pas à jour/vérolé : si le vôtre à votre domicile est protégé et tout et tout, pensez bien que chez les autres il est tout à fait possible qu’ils n’aient pas la même hygiène de vie numérique que vous.
- Donner ses identifiants Wifi aux visiteurs : oui, au neveu qui se pointe avec ses parents, téléphone à la main, qui vous a à peine dit bonjour et dont les premiers mots sont : « cé koi le kode ouifi ? » . Posez direct cette question : « c’est quoi ton antivirus ? ». Généralement il va vous regarder avec de grands yeux ébahis et la bouche entrouverte (sic). Un accès à votre réseau depuis un périphérique infecté, c’est la porte ouverte à tout.
Cette liste n’est pas exhaustive, mais ce sont les principales failles à prendre en compte.
- Voici les bonnes habitudes à adopter afin de limiter les risques :
- Ne JAMAIS enregistrer ses identifiants sur votre navigateur
- Utiliser un mot de passe UNIQUE pour chaque site important : boite mail, sites dits sociaux, etc…
- Ne pas négliger ET mettre à jour vos options de récupération de boite mail et autres comptes : très utile pour rapidement retrouver accès à ceux-ci au cas où.
- Ne pas se connecter aux comptes sensibles depuis des PC inconnus : vos messages ne vont pas s’envoler. Et si vous vous connectez quand même depuis un autre PC, n’oubliez pas de vous déconnecter et de vider les caches du navigateur utilisé à la fin.
- Désabonnez-vous de ces chaines de renvois de blagues : je sais que je prêche dans le désert tant beaucoup en sont accros, mais au moins c’est dit, et vous voilà averti.
- Mettez une suite de protection sur votre téléphone portable, et tout comme sur un PC, n’enregistrez pas vos mots de passe.
- N’utilisez que votre PC pour vous connecter à vos comptes
- Ne divulguez pas votre code Wifi
- Faites une sauvegarde régulière de vos mails et contacts
- Suivez l’actualité informatique : SOSPC est là pour cela, et si vous me lisez bien, pensez que certains de vos proches n’ont pas pour habitude de s’informer. Alors que ce soit ici ou ailleurs, si vous trouvez un article de prévention intéressant, partagez-le avec eux.
- Supprimez les mails où des informations importantes traînent (numéros bancaires, photocopie de carte d’identité, etc).
Pareil, liste non-exhaustive, chacun rajoutera les bons gestes à son niveau
***
CONCLUSION
Gardez à l’esprit que la faille, c’est vous !
Ici j’ai déroulé un scénario plutôt complet.
Seulement une partie des possibilités présentées seront peut-être utilisées dans tel ou tel cas, mais elles sont toutes réelles et utilisées, plus d’autres que je n’ai pas abordées.
S’il y a bien UN point à protéger efficacement, c’est votre boite mail, car, vous l'avez compris, à partir d’elle une personne mal intentionnée pourra vous gâcher non seulement votre vie numérique, mais votre vie quotidienne tout court.
Donc soyez vigilant !
La zone de commentaires est là si vous avez une question, un simple « Merci » sera aussi apprécié.
A très bientôt !!!
AZAMOS
Source illustration principale : https://www.kaspersky.com/resource-center/threats/what-to-do-if-your-email-account-has-been-hacked
***
Les autres articles d'AZAMOS
SOSPC c'est plus de 2000 articles,
Rejoignez la Communauté à partir de 2 € par mois !
Plus d'infos sur les avantages en cliquant ICI.
Christophe, Administrateur