Le piratage de compte de messagerie (orange) : Causes, effets, comment le prévenir, que faire en cas de piratage
Préambule :
Le piratage de compte de messagerie est très fréquent et on en voit plusieurs cas par jour sur ce forum.
Ce type de piratage n’est possible que sur des comptes dont le mot de passe (seule protection contre le piratage) est trop faible ou pas changé périodiquement.
Il est également fréquent lorsqu’un usager a été assez naïf pour donner son mot de passe sur sollicitation d’un mail de phishing se faisant passer pour une entreprise de confiance.
Objectifs du pirate :
L’objectif principal d’un pirate est l’appât du gain frauduleux facile et en toute impunité. Le plus souvent :
– Voler les contacts contenus dans le compte : Un contact valide se monnaye auprès de spammeurs professionnels ou s’arnaque. C’est du revenu potentiel.
– Utiliser le compte à son profit : Usurper l’identité du propriétaire pour tenter d’arnaquer les contacts en envoyant des mails qui jouent sur la crédulité des destinataires ou faire des achats en ligne en son nom, profitant du fait que le mot de passe de messagerie est souvent utilisé également ailleurs (réseaux sociaux, sites marchands, etc…)
L’existence de ce type de pirate est due au fait que la majorité des usagers de messagerie laissent leurs contacts dans leur compte de messagerie sur les serveurs des fournisseurs d’accès (mode webmail) au lieu de les préserver sur leur ordinateur dans un logiciel de messagerie, lequel n’est pas piratable.
Moyen utilisé :
– Le plus souvent, il s’agit d’une attaque de force brute pour casser le mot de passe. Les pirates disposent sur la face sombre du net de tout un arsenal de robots qu’ils peuvent mettre en œuvre pour casser les mots de passe de comptes connus dont la sécurité ne dépend que de la force de leur mot de passe. Plus le mot de passe est fort, plus longtemps il faudra à un robot pour le casser.
Changer périodiquement le mot de passe permet de « couper l’herbe sous le pied » du robot qui doit alors recommencer ses essais à zéro.
– Autre moyen de plus en plus utilisé : Le phishing = Envoi de messages se faisant passer pour une société sérieuse et demandant des informations personnelles, dont le mot de passe, voire les coordonnées bancaires !
– Autre cause possible (rare) certains types de virus chevaux de Troie tel que Verenyky qui, lorsqu’il a contaminé la machine, utilise WebBrowserPassView pour extraire les mots de passe du navigateur Internet ou Mail PassView qui permet d’extraire les mots de passe stockés dans un logiciel de messagerie et les envoie au pirate. Des virus keylogger (enregistreurs de frappe) existent également. La protection contre ces derniers est un antivirus à jour.
Actions effectuées par le pirate dans le compte (tout ou partie de ce qui suit) :
– Il vole les contacts stockés dans le compte, qui deviendront ses prochaines victimes. Si le compte ne contient aucun contact, il passe à une autre victime.
– Il supprime les contacts afin que la victime ne puisse pas les prévenir par mail de l’arnaque qu’ils vont subir à leur tour.
– Il met un ordre de redirection des nouveaux messages entrants dans les préférences ou paramètres du compte vers une adresse mail qu’il a créé temporairement sur Gmail, ou vers l’adresse d’un autre usager lui-même piraté. Symptôme : l’usager ne reçoit plus aucun mail (sauf les spams, lesquels sont traités avant les redirections).
Les mails non reçus car détournés vers une autre adresse ne sont pas récupérables.
– Plus vicieux : Il met un ordre de copie des nouveaux messages entrants vers une adresse à lui : L’usager ne s’aperçoit de rien mais le pirate récolte des adresses mail et autres informations confidentielles.
– Il modifie le mot de passe afin que la victime ne puisse plus accéder au compte.
– Il supprime tout ou partie des dossiers et messages stockés dans le compte après les avoir exploré pour en récolter des informations utiles à ses arnaques : Autres adresses mail, informations confidentielles (compte bancaire etc…)
– Il ajoute des centaines de contacts afin d’utiliser le compte pour spammer ou arnaquer au nom du propriétaire ces destinataires dont les adresses ont été volées ailleurs.
– Il usurpe l’identité du propriétaire afin d’obtenir des informations confidentielles.
– Il modifie l’adresse et le n° de téléphone de récupération du mot de passe dans l’espace client
– il crée un ou plusieurs comptes secondaires ou alias afin de s’en servir à son profit pour son petit business d’arnaque et de phishing
– Il modifie légèrement l’adresse mail afin de tenter des arnaques au nom du propriétaire du compte sans que les destinataires ne s’en aperçoivent et en rendant la récupération du compte par le propriétaire impossible sans l’aide du service client.
– Il modifie le forfait ou tout contrat auquel l’espace client donne accès
(Ces quatre dernières actions seulement si le compte est le compte principal. Si c’est un compte secondaire, il ne peut pas accéder à l’espace client et ne peut donc pas les faire. C’est pourquoi il est recommandé de ne pas utiliser son compte principal pour communiquer et de n’utiliser que des comptes secondaires que l’on ne peut gérer ou dont on ne peut réinitialiser le mot de passe qu’à l’aide du compte principal)
– Etc…
Actions effectuées par le pirate après piratage d’un compte :
– Il revend les contacts à des spammeurs professionnels.
– Il envoie des mails d’arnaque à tous les contacts trouvés dans le compte en comptant sur le fait qu’il y ait un ou plusieurs naïfs qui répondent et lui envoient de l’argent.
– Il envoie des mails de phishing aux contacts en se faisant passer pour une société sérieuse afin d’obtenir des informations confidentielles (mots de passe, compte en banque, etc…) aux fins d’arnaques ultérieures.
– Il utilise l’identité du propriétaire pour franchir certaines barrières après lui avoir fait envoyer des documents personnels (carte d’identité, passeport, etc…).
– Il utilise à son profit les informations personnelles contenues dans l’espace client auquel il a accès si le compte piraté est le compte principal :nom, N° de client, etc…. Par exemple pour voler la carte SIM du propriétaire en se faisant passer pour lui auprès de son opérateur, prétextant l’avoir perdu.
– Il fait des achats en ligne au nom du propriétaire du compte pour les revendre au marché noir en profitant du fait que celui-ci utilise très souvent le même mot de passe pour sa messagerie et pour s’enregistrer sur les espaces clients des sites commerçants et réseaux sociaux.
– Etc… L’imagination des pirates n’a pas de limites !
Actions préventives :
– Utiliser un mot de passe fort (10 à 12 caractères, mélange de lettres majuscules, minuscules, chiffres, caractères spéciaux et aucun mot du dictionnaire ou nom propre de lieu ou de personnes).
Utiliser un moyen mnémotechnique pour s’en souvenir (premières lettres des mots d’une phrase, ou remplacer les « i » par des « 1 » , les « o » par des « 0 » par exemple).
– Changer le mot de passe au minimum tous les deux ans.
– Ne pas utiliser son compte principal pour communiquer mais lui réserver le rôle de compte d’administration des comptes secondaire, car seul le compte principal peut réinitialiser le mot de passe d’un compte secondaire afin de récupérer celui-ci en cas de piratage avec modification de son mot de passe. On peut alors récupérer le compte soi-même.
Par contre, si c’est l’adresse mail ou le mot de passe d’un compte principal qui a été modifié, seul le service client peut y faire quelque chose.
Le compte principal permet également d’accéder à l’espace client qui contient tout ce qu’il faut comme informations personnelles pour permette au pirate se faire passer pour ce client auprès de l’opérateur (vol de carte SIM par exemple).
– Utiliser un logiciel client de messagerie qui permet de ne laisser aucun contact ni aucun mail sur un compte de messagerie en ligne et de stocker l’historique de mails sur le PC, devenant ainsi indépendant de l’opérateur pour le stockage de l’historique des mails.
Il permet, entre autres avantages, de mémoriser le mot de passe et de ne plus avoir besoin de l’utiliser pour s’identifier. Celui-ci peut donc être aussi compliqué que possible sans risque de l’oublier.
– Ne jamais utiliser le mot de passe de messagerie pour d’autres usages que la messagerie (espaces clients de sites commerçants, réseaux sociaux, etc…).
Actions curatives :
Si le propriétaire a toujours accès à son compte (mot de passe et nom du compte non modifiés par le pirate) :
– Changer immédiatement le mot de passe pour un très fort. Voir ce tuto :
– Changer immédiatement le mot de passe partout ou il a été utilisé à l’identique, si c’est le cas : réseaux sociaux, espaces clients de sites marchands, etc…
– Récupérer les contacts dans la corbeille des contacts laquelle est visible en bas de page en cliquant sur « contacts » dans le carré plein de carrés entre le nom et l’enveloppe en haut à droite de la page d’accueil. Par mesure de sécurité, la corbeille de contacts n’est vidée par Orange qu’après un délai de 60 jours.
– Vérifier que le pirate n’a pas ajouté des centaines de contacts pour spammer à partir de ce compte. Les supprimer au besoin.
– Supprimer l’ordre de redirection des mails dans les « préférences » ou « paramètres du compte » / Transférer mes messages…
Pour l’ancienne messagerie, voir ici (cliquer sur ce mot et choisir « Ne pas transférer »)
Pour la nouvelle messagerie, voir ici (cliquer sur ce mot et choisir « Ne pas transférer »)
Si une redirection a été mise en place par le pirate, les messages reçus depuis sont perdus (enfin, pas pour tout le monde car ils sont chez le pirate).
– Vérifier tous les paramètres de l’espace client et des préférences et en particulier l’adresse mail et le N° de téléphone portable de récupération de mot de passe.
– Vérifier dans l’espace client si le pirate n’a pas créé de compte secondaire à son profit.
– Prévenir ses contacts des arnaques ou piratages à venir et leur indiquer de changer leur mot de passe pour un très solide.
– Accessoirement, prévenir la cellule abuse@orange.fr
– Porter plainte ne sert qu’à faire perdre du temps aux forces de l’ordre et à incrémenter un compteur de statistiques.
Les pirates sont moins naïfs que leurs victimes et ne laissent derrière eux aucun élément qui permette de les identifier.
Note : Changer d’adresse est inutile.
Si le propriétaire n’a plus accès à son compte car mot de passe invalide :
Si le compte est un compte principal :
– Appeler et faire intervenir le service client d’Orange (3900 (ou +33969393900 depuis l’étranger), ou E-chat) pour débloquer la situation en justifiant de son identité et N° de contrat.
– Faire les vérifications ci-dessus.
Si le compte est un compte secondaire :
– Réinitialiser son mot de passe à l’aide du compte principal :
– Faire les vérifications ci-dessus.
Si le compte ne fait plus partie d’un contrat en cours de validité :
– Envoyer un mail à abuse@orange.fr en leur demandant de supprimer le compte avec tout son contenu car il est devenu incontrôlable et dangereux pour les autres usagers et pour soi-même.