Autopsie d’un piratage

Le piratage de compte mail sévit régulièrement sur internet.
Je ne parle pas des mails que l’on reçoit régulièrement venant de nos contacts et vous invitant à cliquer sur un quelconque lien. Ils finissent en général en spams si votre logiciel anti-spam est performant. Ils sont faciles à repérer, nous y reviendrons.
Non, je parle de comptes mails totalement contrôlés par un pirate en lieu et place du propriétaire réel du compte.
En tant que contact du carnet d’adresse du compte piraté vous recevez un mail semblant venir de votre ami et qui annonce un problème grave sans trop de détail. Si vous répondez pour en savoir plus, ce n’est pas votre ami qui reçoit le message mais le pirate.
Le pirate devient alors plus explicite. Votre ami, pour lequel il se fait passer, est coincé quelque part à l’étranger et a un besoin d’argent pour se sortir d’une situation grave voire gênante. Si vous poursuivez l’échange, il vous sera alors indiqué comment lui envoyer de l’argent.
Heureusement rares sont ceux qui vont au bout de la démarche.
L’aventure m’est arrivée il y a quelques semaines. Personne ne m’aime au point d’avoir été jusqu’au bout, même si 2 ou 3 ont montré une sincère volonté de m’aider. Ce n’est pas allé trop loin car j’ai pu au bout de 2 heures rétablir la situation, mais on aurait pu faire plus vite.
La même aventure vient d’arriver à une autre personne et il semble que cela aura mis plus de temps à se rétablir. La facilité à gérer la situation dans un contexte technique auquel on n’est pas habitué n’aide pas.
Voyons les détails sur ces 2 exemples, et comment s’en sortir si cela vous arrive.

L’envoi de mails pour les 2 exemples cités a eu lieu le matin de bonne heure.Pour mon cas, le mail a été envoyé vers 7h20 :

"Objet : Voyage

Bonjour,
Tu vas bien j’espère? Serais-tu disponible pour me répondre par mail ?

J’ai un problème urgent à t’expliquer.

Dans l’attente,
Pour en parler rapidement

JM Sagnes"

A celui qui répondait pour en savoir plus, la réponse suivante est arrivée, un brin personnalisée :

" Re: J’attends ta réponses !

Aurelio,  Merci pleinement pour ta réponse. En effet, je suis en voyage en Grèce où j’ai quelques soucis en ce moment, je me suis fait voler mon sac de voyage contenant mon téléphone et l’argent liquide, je dispose de ma carte Prépayée TRANSCASH. Tout ce dont j’ai besoin est que tu m’achète 3 coupons – recharges Transcash de 300€ ( 900 € ) afin que je puisse recharger ma carte prépayée, je vais m’atteler à te rendre cette somme dès mon retour. Si tu es toujours disposé à m’aider car j’en n’ai vraiment besoin, je te dirai où tu pourras les acheter. Mille merci d’avance."

Amicalement"

variante reçue par d’autres : ce n’était pas la Grèce mais la Corse, le pirate varie son texte de temps en temps !

Dans le cas de d’une autre personne, le premier message était :

"objet : Probleme

Bonjour,

Comment vas tu? De mon côté, je vais mal…
Pouvons-nous échanger par mail en toute confidentialité?
j’ai une faveur très importante à te demander c’est vraiment urgent

PS: Je tiens à te dire que je ne suis pas joignable au tel. Marc"

Depuis mon compte personnel j’ai répondu au pirate que je n’étais pas dupe ce qui a clos l’échange.

Sur le mail des brionautes qui a également reçu le message j’ai eu l’idée de jouer le jeu en répondant  :
"Quel est ton problème ?"

Dans les 5mn j’avais la réponse :

"Objet: Re: probleme

Je suis vraiment content de te lire. Je te remercie de m’accorder un peu de ton temps. Je suis en déplacement et de retour ce soir. Malheureusement, j’ai rencontré quelques soucis(grave/santé) que je ne peux malheureusement pas réglé par faute de manque de fond. Je t’expliquerai mieux une fois rentré. J’aimerais que tu te rendes chez le buraliste et demandé à avoir 4 coupons PCS de 250 e. Puis me faire parvenir les numéros par mail. Je te les rendrai une fois rentré en soirée. Tu y vas rapidement? Merci pour ta confiance, à te relire. Marc"

Dans les 2 cas on retrouve les mêmes caractéristiques :
– il faut envoyer de l’argent pour dépanner cet ami qui a un problème urgent
– les coupons PCS c’est une sorte de carte bancaire anonyme. Inutile de dire qu’il n’y a aucun recours une fois le N° transmis, c’est comme de l’argent liquide.
– la personne n’est joignable que par mail
– le carnet d’adresses est effacé. De ce fait on est démuni pour prévenir les contacts que c’est une arnaque et qu’ils ne doivent pas répondre.
Vous trouverez sur internet des forums de gens à qui cette mésaventure est arrivée, il y en a tous les jours de nouveaux.

Comment est-ce possible ?

En fait le pirate prend le contrôle total de votre compte mail. Il n’y a rien à faire sur le PC, tout se passe sur le serveur de mail. Il faut donc appeler le fournisseur d’accès pour qu’il rétablisse avec vous la situation. Au téléphone en direct il vous fera faire des manipulations. Dans le cas de Orange, c’est le 3900 qu’il faut appeler.

Le pirate s’est introduit en craquant le mot de passe. De quelle manière ? était-il trop simple ? l’a-t-il capté en installant un virus sur votre PC ? ou l’a-t-il volé sur le serveur du fournisseur d’accès ? Le plus vraisemblable est le premier cas, d’où la nécessité d’avoir un mot de passe compliqué et de le changer de temps en temps.
Une fois introduit, il a changé deux choses :
 
1- il a créé une redirection du compte vers une autre adresse , sur Orange :
-> mes préférences
puis -> transférer mes mails vers une autre boîte aux lettres, en l’occurrence adpiscines@gmail.com
je ne sais pas si cette adresse est toujours active, au moment du piratage c’était celle du pirate

2 – il a modifié l’adresse de secours, celle qui permet de recevoir un nouveau mot de passe et mis la sienne à la place évidemment.

Par contre il ne prend pas la peine de changer le mot de passe tout de suite.

Le dépannage consiste à supprimer l’adresse de redirection, remettre l’adresse de secours et changer son mot de passe.

Si on arrive à le faire soi-même, sans être contrecarré par le pirate qui rectifie aussitôt, c’est bien. Sinon il vaut mieux appeler le service support fournisseur d’accès, le 3900 pour Orange. Dans le cas de Orange il existe une cellule qui centralise les informations de piratage, elle est accessible par l’adresse mail abuse@orange.fr
Il faut l’informer, mais seulement après avoir traité le problème, ce n’est pas eux qui vous dépanneront dans l’urgence.

Et pour limiter les risques :
– avoir un bon mot de passe
– conserver son carnet d’adresses en local, l’idéal est d’avoir une messagerie en local mais on perd la souplesse du webmail
– avoir une seconde adresse mail, et la stocker aussi dans son carnet d’adresse. Cela permet d’être informé tout de suite quand son compte principal est piraté, étant dans les contacts.
– et si cela vous arrive, intervenir au plus vite avant que vos amis ne mettent la main au portefeuille
– et enfin, mais il faut en assumer les conséquences, avertir d’avance tous vos contacts, que vous ne leur demanderez jamais de l’argent par mail !

Autre aventure qui arrive assez souvent, ce sont les messages de type spams que l’on reçoit venant d’un contact. En général ce type de message, souvent en anglais, invite à cliquer sur un lien vers un site de harponnage qui va essayer d’introduire un virus. Les bons anti-spams filtrent ce type de messages le plus souvent. En l’occurrence le mail de votre contact n’a pas été piraté, mais on s’est servi de son adresse pour vous faire croire que c’est cette personne qui vous écrit. C’est comme si on vous envoie une lettre en mettant à l’arrière un mauvais nom d’expéditeur, personne vérifiera. Pour pousser la comparaison, dans le premier cas explicité plus haut, c’est comme si le pirate avait vraiment occupé votre domicile. Dans le second cas, c’est juste le dos de l’enveloppe qui est faux. Techniquement c’est très facile à faire, il suffit d’envoyer son message via un serveur de messagerie situé dans pays étranger pas très regardant pour se faire passer pour quelqu’un d’autre. En l’occurrence si vous répondez à un tel message c’est votre correspondant habituel qui reçoit et non le pirate comme dans le premier cas. Là où ce type de message peut faire mouche, c’est dans le fait qu’il provient assez souvent de quelqu’un que l’on connait, d’où une certaine confiance qui participe au spam. Donc à la base, un jour ou l’autre il y a eu vol de carnet d’adresses, et son exploitation peut durer longtemps, il suffit de le savoir. Ces messages sont assez souvent faciles à repérer, le nom et l’adresse mail n’étant pas forcément concordants.