C’est devenu une question au quotidien
Encore ce matin, j’ai reçu la demande d’une personne qui a eu son compte Snapchat piraté. C’est à dire que le hacker a trouvé son mot de passe. Ensuite, il s’est connecté et a changé les identifiants de la victime ainsi que les données de récupération de sorte que le propriétaire légitime ne puisse plus accèder à son compte.
Ici, il s’agit de Snapchat, mais il en va de même pour Facebook, Tweeter et l’ensemble des réseaux sociaux, comptes clients (leboncoin…) et des comptes mails.
La victime souhaite que nous récupèrions son compte et donc son mot de passe. Pour schématiser, on peut dire qu’il y a deux façons de voir comment faire :
- légale
- illégale
Quelle possibilité légale s’offre à nous ?
Le point délicat, c’est l’identification. Comment prouvez que vous êtes l’auteur de votre blog, votre boite mail…
Même la carte d’identité française, apparu il y a moins de 100 ans, ne peut répondre à cette question. Aucun réseau social ne vous demande une identification lors de la création de votre compte.
Attention, je parle bien d’identification et pas d’authentification. L’authentification, c’est votre mot de passe, l’adresse mail ou le numéro de téléphone, autant d’éléments qui ne prouvent pas qui vous êtes mais juste que vous êtes à l’origine de cette création.
C’est là que les hackers, pirates, ex-conjoint, vont profiter du relatif anonymat de l’Internet pour prendre le contrôle de vos comptes. Ils vont s’authentifier à votre place.
Et ensuite, et ceux qui ont fait la démarche le confirmeront, aucun réseau social, entreprise, client… ne vous redonnera l’accès à vos comptes puisqu’ils ne peuvent pas vous identifier.
Seuls les FAI (fournisseur d’accès à Internet), services de l’État, qui ont votre identité pourront vous rendre votre accès à leurs services.
Alors, les possibilités illégales ?
Comme le proposait la victime du jour :
« Puisque un pirate à hacker mon compte, on peut bien le hacker lui et ainsi récupérer mon accès ! »
Ne pouvons-nous pas le faire ?
Photo Ulvi Safari pour Unsplash
Premier écueil, la loi. Article 323-1 alinéa 1 du Code pénal : Deux ans d’emprisonnement et de 60 000 € d’amende pour toute personne qui cherche à accéder frauduleusement à un système informatique. On ne fait pas justice soi-même.
Second écueil, l’identité. Qui me dit que vous êtes le propriétaire légitime du compte ? Rien. Nous n’avons pas plus de certitude que les réseaux et autres entreprises qui ont ouvert le compte.
Troisième écueil, le temps. On peut penser que le pirate est malin et lui, il a mis un mot de passe fort, pas le nom du chien ou la date de naissance du petit dernier. Cela peut demander des heures voir des années avant de casser un vrai mot de passe.
Alors que faire ?
Les victimes font appel à nos services, en très grande majorité, après l’incident. Mais nous sommes comme le pompier qui va éteindre l’incendie de fôret, mais qui ne fait pas repousser les arbres.
Comme dit le proverbe ; « mieux vaut prévenir que guérir »
1- Utilisez des mots de passe forts
https://www.ssi.gouv.fr/administration/precautions-elementaires/calculer-la-force-dun-mot-de-passe/
2- Utilisez keepassxc pour gérer vos mots de passe
3- Utilisez de vrais gestionnaires de mail avec le protocole POP3
4- Ne publiez pas de photos et de données personnelles sur les réseaux sociaux.
5- Sauvegardez vos données sur des supports hors ligne (clé Usb…)
6- Lisez les guides cybermalveillance
Les mesures préventives sont donc essentielles pour que ça n’arrive pas, car cela ne devrait pas vous arriver.
Des conséquences qui peuvent être dramatiques.
Le piratage de comptes en ligne est la première étape qui peut mener les pirates à des actions plus graves.
Par la lecture des informations contenues dans vos comptes, ils apprendront :
– le nom de votre banque et de votre conseiller financier,
– son numéro de téléphone, qu’ils peuvent pirater,
– votre numéro de sécurité sociale, vos bulletins de salaire et vos factures,
– les identités des personnes de votre famille et de vos amis,
– vos habitudes de déplacement et la durée de vos absences,
– le nom du comptable, la liste des clients…
Ensuite viendront les attaques :
– usurpation d’identité (article 226-4-1 du Code pénal 1 an de prison et 15 000 euros d’amende),
– ouverture de crédit renouvellable, virement et vol sur vos comptes bancaires,
– chantage aux vidéos intimes et photos compromettantes (vraies ou fausses),
– harcelements,
– faux support technique,
– diffusion de fausses informations.
Des délits qui peuvent être punis par 5 ans de prison et 150 000 euros d’amende.