En ce moment
Devenez un hacker : voilà pourquoi les plus grands pirates sont des mentalistes

Devenez un hacker : voilà pourquoi les plus grands pirates sont des mentalistes

Si ici on vous parle de hack de cerveau, ce n’est pas pour le plaisir de vous échauffer les neurones avec quelques accroches séduisantes… mais bel et bien car le cerveau, tout comme un ordinateur, peut être trompé, forcé, et donc « hacké ». A l’heure où une grande partie de nos données personnelles sont numérisées, la question de savoir comment vous protéger est primordiale.

Dans cet article, je vais vous expliquer des techniques qui vous permettront d’être à l’abri des méthodes les plus basiques (et aussi les plus pernicieuses) que les hackers utilisent pour découvrir vos mots de passe. Autre aspect de l’article évident (le côté obscur de la force) : il vous donnera des pistes pour découvrir les mots de passe d’autres personnes.

Avis de non responsabilité/Disclaimer. Cet article n’est pas une incitation au piratage. Son aspect « obscur » n’a pas vocation à être un guide exhaustif ou ultime du social engineering. En l’état, rien de ce qui y est expliqué n’enfreint la loi. Vous restez entièrement responsables de vos actes.

La plus grosse faille de sécurité, ce n’est pas l’ordinateur mais l’utilisateur

Vous avez peut-être déjà entendu cette phrase mais vous êtes-vous réellement rendu compte à quel point elle était vraie ? Sécurisez-vous autant votre cerveau que vos mots de passe ? Voici quelques tests simples pour vous en rendre compte.

Faisons un diagnostique de votre sécurité informatique.

La constitution du mot de passe, j’espère ne pas vous l’apprendre, doit être d’au moins 10 caractères composés de chiffres ET de lettres et surtout ne pas comporter des choses aussi simples que votre date de naissance, le nom de votre chat ou encore celui de l’élu(e) de votre coeur.

Tout ça c’est bien, mais pensez-vous réellement qu’un hacker va s’attaquer à votre mot de passe en tentant des dizaines de millions de possibilités ? Peu de chances (à moins que vous soyez un agent du FBI, et dans ces cas là, on est ravi que le blog vous plaise !).

L’ingénierie sociale (social engineering en anglais) est justement le terme qui désigne la façon dont on pourra deviner votre mot de passe sans que vous vous en rendiez compte. Pas besoin de « casser le code » de votre ordinateur. Je le répète : la plus grande faille c’est vous.

Option N°1 : on vous trompe sur le contenu d’un fichier envoyé innocemment

Les keyloggers sont des logiciels espions qui enregistrent tout ce que vous tapez au clavier et envoient tout ça à des pirates immédiatement… facile alors de récupérer vos conversations mais aussi vos mots de passe. Les meilleurs keyloggers envoient même des captures de votre écran… ou des images de votre webcam aux pirates !

Le keylogger peut se trouver dans un fichier que l’on vous envoie de type jeu en flash, blague du matin powerpoint, logiciel gratuit pour regarder des films sans payer… Méfiez-vous donc de tout ce qui vous est envoyé par mail même venant d’un ami qui lui même a pu être infecté à son insu. Si vous souhaitez télécharger un programme, rendez-vous sur des plateformes de téléchargement légal par vous-même. Réfléchissez bien avant d’agir, êtes-vous sûr que le service que vous utilisez est sécurisé ?

Ici, on peut donc parler d’abus de confiance : ce n’est pas l’ordinateur qui vous trompe mais la personne qui vous a poussé à aller cliquer sur un lien dont le contenu n’était pas sécurisé.

Vous êtes du côté obscur de la force ? Il existe beaucoup de sites qui vous expliqueront comment utiliser des keyloggers et les installer discrètement.

Vous êtes du côté clair de la force ? Pensez à analyser votre ordi régulièrement à coup d’antivirus pour être certain de n’avoir aucun keylogger d’installé.

Option N°2 : trop en dire sur ses mots de passe (parce qu’on se trouve vraiment génial) !

Poussé par l’idée qu’on a souvent (toujours ?) raison et qu’il est vraiment très intéressant que tout le monde le sache, nous avons parfois tendance à être un peu trop bavards. Je vais passer par l’exemple, et vous citer cette anecdote qu’on m’a raconté il y a peu.

Il est possible d’obtenir un mot de passe avec une question simple du type :

Je dois changer le mot de passe de ma boite mail. Tu aurais un conseil à me donner sur un truc que je pourrais retenir facilement ?

La victime a alors répondu :

Tu fais du kayak ton mot de passe pourrait être kayak et ta date de naissance ?

Le hacker-mentaliste décrit :

L’objectif était exactement ce genre d’infos donc j’ai acquiescé et suis parti. De retour chez moi j’ai appliqué ce conseil à son compte et …  « Oh miracle ! » c’était ce qu’il m’avait proposé.

Vous vous attendiez à un cours de cryptographie et d’attaque force brute ? Il est bien plus simple de vous manipuler vous que de tenter une intrusion dans votre système informatique.

Vous êtes du côté obscur de la force ? Posez la fameuse question autour de vous et essayez de trouver des mots de passe. Profitez-en pour former les gens à cette problématique si vous trouvez leur mot de passe, ça leur fera sûrement un éléctro-choc ! Les « questions secrètes » sont aussi une piste à explorer (« au fait, c’est quoi ton film préféré ? »).

Vous êtes du côté clair de la force ? Ne soyez pas trop bavard sur votre stratégie de création des mots de passe. Quant aux questions secrètes, évitez de mettre de vraies réponses super évidentes ! Twitter avait été piraté à cause d’une question secrète trop simple associée au compte d’un administrateur du site…

Option N°3 : se faire voler l’information directement

Là on peut distinguer trois cas.

Le premier cas, simple et basique, est de vous pousser à vous identifier sur un autre ordinateur que le votre : vous n’avez aucune idée du niveau de sécurité de cet ordinateur. Même si c’est gentiment demandé, même si cela semble raisonnable : n’allez pas taper vos identifiants personnels sur une machine tierce. Vous seriez en train de déléguer à un autre que vous la sécurité de tout votre système. Avant réfléchissez : confierez-vous les clés de chez vous ou votre enfant à cette personne ? Si ce n’est pas le cas, refusez. Ça passe typiquement par des demandes bénignes du genre « Hey ! L’autre fois tu m’as parlé d’une photo trop drôle de Machin sur Facebook, tu me montres ? tiens, connectes-toi sur ton compte avec mon ordi, j’ai trop hâte de voir ».

Le deuxième cas serait de laisser vos « clés » à portée de quelqu’un, qui pourrait les copier rapidement… et là je pointe du doigt les nouveaux smartphones. Désormais systématiquement connectés à Internet et pour plus de facilité avec tous vos mots de passe pré-enregistrés, il suffit de vous détourner un bon moment, entrer dans votre navigateur, et envoyer une demande de récupération de mot de passe qui se fait en général très rapidement. Bien sûr, vous n’avez peut-être pas le même mot de passe pour tous vos sites web mais il y a donc fort à parier que la base soit la même, avec juste quelques lettres qui changent (ne faites pas cette tête, non, ce n’est pas original du tout comme méthode).

Le troisième cas, extrême, serait de vous faire un faux tour de magie visant à deviner votre mot de passe. On vous prépare, on vous le fait noter, on fait semblant de le deviner, et au final, le tour est faussement raté. Mais trop tard, votre mot de passe est déjà dans les mains du « magicien » qui vous a eu.

Vous êtes du côté obscur de la force ? Cette troisième option vous offre pas mal d’idées clefs-en-main pour vous amuser.

Vous êtes du côté clair de la force ? Ayez des principes. Le plus important : refuser de taper son mot de passe sur l’ordinateur/téléphone de quelqu’un d’autre. C’est toujours une mauvaise idée, pour mille et une raisons.

Maintenant, je vais vous dévoiler mon astuce ultime pour avoir un mot de passe parfaitement sécurisé. Une astuce qui m’a demandé des années de lecture, d’apprentissage, et d’expérience, pour être sûre de ne jamais me faire avoir. Une astuce qui vaut de l’or :

Cliquez ici pour lire ce secret

Cliquez ici pour lire ce secret

Le secret c’est de ne PAS dévoiler son secret !!!! Si vous avez une méthode unique, un conseil incroyable, une astuce du tonnerre … restez humble et gardez cela pour vous!

À propos Mina_

Mina_

12 commentaires

  1. Salut

    Même si à peu près tous ce qui a été présenté est globalement illicite. L’exercice de se mettre à la place d’un hacker pour mieux se protéger et toujours intéressant

    Ludovic

  2. Malo

    « Le droit est une notion complexe » Shawn Spencer (psych) ^^

  3. Il y a quelques années, j’avais fais un classique phishing Facebook puis je l’avais envoyé à certains de mes amis.
    Si je me contentais d’envoyer un unique message avec le lien, quasiment personne ne tentait de se connecter avec son compte sur le faux site. Par contre en insistant un peu, on arrive facilement à les convaincre. En plus, vu que ce sont nos amis, ils ont confiances donc sont moins méfiants.

    Mon expérience était uniquement à titre expérimental, je n’ai jamais utilisé ces identifiants et je leurs ai recommandé de les changer. Je n’imagine pas le nombre de comptes qu’une personne un peu mentaliste pourrait accumuler grâce à ce moyen !

    • Le phishing est de fait devenu un des moyens les plus sournois pour obtenir des données -ou de l’argent!- actuellement… jouant totalement sur l’abus de confiance et l’usurpation d’identité. Le site http://www.hoaxbuster.com permet d’en débusquer quelques uns. Pour le reste, il faut vraiment se méfier et toujours vérifier l’adresse de redirection :/

  4. Il ya un site qui consiste à faire faire un test à quelqu’un pour savoir si l’on « est un bon baiseur », « très intelligent » ou encore  » est dans une période difficile » et le test est directement envoyé au piégeur qui peut voir les informations du piégé ;)
    (http://fr.testmoral.com/ , http://www.affinimetre.com/ et bien d’autres)

    • Mais carrément?!… je suis pas sûre de trouver ça super « fun » comme ils l’annoncent. Cela doit faire froid dans le dos quand on voit qu’on s’est fait piéger… Moralité, OSEF de l’avis d’un questionnaire.

  5. Félix

    Le concept est excellent mais c’est clair que ça fait froid dans le dos. À utiliser pour une grosse attaque de social engineering ! C’est le genre de site qui peut casser une relation avec un proche bêtement… merci pour le partage Armand.

  6. Effectivement, je n’avais pas pensé à cela, c’est un amis proche qui me l’a fait donc je n’ai fait qu’en rire.

  7. MentalZen

    Salut,

    Métaphore intéressante .

    L’astuce reste selon moi un des meilleurs outils .

    Ne jamais dire ses trucs .

    De plus, la cible se fera avoir beaucoup plus facilement.

    Bien dit .

Poster une réponse

Votre adresse email ne sera jamais publiée. Les champs obligatoires sont indiqués *

*

13 + 5 =

Remonter