Comment un pirate pouvait hacker un compte Hotmail/outlook, et comment se protéger
Cet article a pour but de mieux comprendre comment un pirate pouvait (ou pourrait ?) pirater votre compte Hotmail/Outlook/Live, afin de vous en prémunir concrètement. Nous parlerons également d’une faille à présent corrigée qui montre bien qu’une erreur d’implémentation avait des conséquences désastreuses. Ce qui nous permettra de tirer des conclusions sur les étapes à mettre en place pour la sécurité de nos comptes.
Je rappelle que ce site n’a pas pour vocation d’aider à pirater mais à comprendre les attaques pour se défendre. Aucune technique de piratage n’est expliquée pour pirater des comptes d’autres personnes.
Comment un pirate pouvait-il si facilement hacker un compte Hotmail ou Outlook ?
Le problème de fond en cybersécurité est toujours le même : c’est l’être humain.
EDIT: Cette partie a été sur-éditée depuis la publication originale. D’abord pour retirer des détails trop risqués à montrer, puis pour ajouter tout de même des explications… et enfin pour faire un résumé utile et pertinent pour comprendre et s’en défendre. La faille étant à présent vieille (plus de 10 ans), il n’est plus du tout possible de la remettre en pratique.
Alors voilà ce qu’il s’était passé…
Un bon jour, sur les forums de hacking, une personne débarque pour dire qu’il peut pirater des comptes Hotmail très facilement.
« N’importe quel compte »
Il aurait en effet découvert une faille de sécurité. Il l’aurait signalée à Microsoft, qui n’aurait pas jugé pertinent de la réparer. Du coup, il l’a publiait publiquement (le scénario classique…).
Il se trouve que n’importe qui pouvait cliquer sur « mot de passe oublié » en souhaitant se connecter à un compte à pirater.
Sur PC, Microsoft demandait ainsi un numéro de téléphone ou une adresse de secours pour réinitialiser le mot de passe.
Très bien.
Sauf que sur Mobile… l’adresse de secours s’affichait !
Les astérisques qui cachaient à priori l’adresse de secours étaient juste « visuelles ». L’adresse était bien visible dans la source.
Mais du coup ou est le problème ?
Le problème, et c’est là qu’on en vient à la faille humaine, c’est que les internautes donnait n’importe quelle adresse en tant qu’adresse de secours ! Ne comprenant pas qu’il devait s’agir d’une adresse valide. On se retrouvait donc, moi y compris, avec des adresses de secours du type « [email protected] ».
En mettant tout cela ensemble, le piratage se profile : le pirate pouvait voir les adresses de secours, et tout simplement CRÉER l’adresse de secours inexistante… puis réinitialiser le mot de passe.
Hotmail (désormais Outlook) a bien amélioré la sécurité de son site/système en rajoutant notamment des alertes de connexion et l’authentification à double facteur (2FA).
Mais le problème fondamental que je souhaitais mettre en avant par cette démonstration est le problème humain…
Nous avions d’un côté des internautes peu soucieux de la sécurité de leur compte qui remplissait n’importe quoi dans le champ de l’adresse de secours. Et de l’autre côté les développeurs Microsoft qui affichaient l’adresse de secours d’un compte donné à tout le monde.
Félicitations tout le monde.
Méthodes de prévention
Il suffisait d’une démarche très simple, presque naturelle pour voler un compte. Sachant le nombre d’utilisateurs (et le budget), c’était ainsi une véritable aberration de la part de Microsoft d’avoir permis cela.
Vous savez maintenant qu’il faut faire (très) attention à l’adresse de secours d’un compte, elle est aussi importante que l’adresse principale. Sachez également que le fait de ne pas se connecter pendant longtemps rendait votre compte réutilisable par n’importe qui d’autre (encore une aberration)…
De manière générale : toutes les informations de sécurité autour de votre compte doivent être prises au sérieux, et mises à jour dès maintenant s’il le faut. Je dirais même qu’au delà des bonnes pratiques, il convient de sélectionner un hébergeur mail soucieux de la sécurité de ses utilisateurs.
Comment ne plus se faire pirater à l’avenir
Ne donnez jamais VOS propres identifiants (adresses e-mail et mot de passe) à certains sites web ou programmes. Si vous recherchiez activement comment hacker un compte hotmail avant de venir ici vous êtes sûrement tombé sur des « sites spécialisés » et autres « donne moi tes identifiants, je te le fais en 2 secondes ». Ce n’est pas vrai, soyez méfiants ! Vous pouvez voir un exemple dans l’article Comment un pirate risque de pirater votre Compte Facebook dans lequel je teste moi-même les sites qui vous proposent de pirater « en un clic » (ou en plusieurs, d’ailleurs) pour vous montrer qu’ils sont faux, preuves à l’appui.
Faites attention aux keyloggers, qui récupèrent purement et directement vos mots de passe
Vous vous dites que outlook.com est en https, que vous utilisez un proxy ou vpn et que personne ne pourra donc vous voler votre mot de passe.
FAUX.
Les keyloggers récupèrent ce que vous tapez sur votre clavier, peu importe la fenêtre active, peu importe le chiffrement de la connexion.
Faites attention au Phishing, qui vous fait croire que vous vous adressez à un site officiel
Avec les keyloggers, le phishing est l’une des attaques les plus populaires pour pirater un compte quel qu’il soit. C’est simple, on vous fait croire que vos informations ne sont pas à jour (ou tout autre technique dans ce genre) pour vous envoyer sur un faux site qui récupère votre mot de passe. Le phishing logiciel existe aussi, typiquement avec des programmes qui vous demandent de vous connecter pour effectuer une action alors qu’ils récupèrent votre mot de passe.
Faites attention à avoir une adresse de secours valide, et non pas inutilisée ou inexistante
Outlook/Hotmail oblige de choisir au moins deux éléments d’identification, mais pour beaucoup d’utilisateurs, ces informations sont inutiles, d’où le problème !
C’est exactement comme envoyer son mot de passe à quelqu’un au hasard. Il est également possible pour n’importe qui de créer cette adresse, qui n’existait pas forcément avant.
Faites attention à choisir une réponse compliquée à la question de sécurité
Dans la même lignée, les utilisateurs pensent ne jamais avoir besoin d’utiliser une réponse secrète, ils la donnent donc au hasard (et ne s’en souviennent plus lorsque leur compte est piraté) ou répondent normalement à la question posée, ce qui semble être une bonne chose.
Mais ça ne l’est pas du tout, car si l’on connaît le « nom de votre premier animal » ou votre « lieu d’étude »…. tout est perdu ! Et ces questions étaient vraiment posées ! C’est comme dire « le mot de passe du compte est votre lieu d’étude ». WTF.
Faites attention à ne pas montrer le contenu de votre boite de réception et de vos informations de compte
Consulter ses mails au boulot ou à l’école semble anodin. Mais si une personne mal-intentionnée prend note de ce qu’elle voit, elle peut pirater un compte quel qu’il soit. Car en utilisant un formulaire de récupération de compte, n’importe qui peut se faire passer pour vous en connaissant beaucoup d’informations sur votre compte, et donc réinitialiser votre compte.
Sécurisez bien vos comptes en amont
Une fois que vous êtes piraté(e) c’est bien souvent trop tard. Pensez à l’authentification en deux étapes, au mot de passe ou numéro de téléphone de secours et le plus important : Soyez méfiant(e) et sensibilisé(e).
Voir ici pour bien débuter en hacking éthique et voir l’article suivant pour récupérer un compte piraté.
Dans cette volonté de sécuriser les systèmes et afin de vous apprendre les concepts fondamentaux du hacking éthique, sachez qu’un cours complet est également disponible ici : Hacking éthique : le cours complet.