Atlantico.fr - 31.05.2014
Vous la pensez sans doute bien protégée par un mot de passe, pourtant elle peut en dire beaucoup sur vous. Une adresse email dans de mauvaises mains peut révéler de nombreuses informations privées. Et pas besoin pour cela d'user de stratagèmes complexes.
Entretien avec Damien Bancal, journaliste.
Atlantico - Concrètement, que peut-on savoir à partir du seul email (sans avoir le mot de passe) et comment s'y prend-on ?
Damien Bancal - Derrière une adresse électronique, il y a un humain qui poste des informations sur tout et n’importe quoi. Il peut être client chez Orange, acheter sur eBay, avoir un compte Facebook… Toutes ses infos sont collectées dans le « big data » que les entreprises laissent traîner. Si un pirate a une adresse email, il suffit qu’il aille sur Google pour taper l’adresse email, et la grande chasse au trésor commence… Et même si l’email ne renvoie pas directement au nom de la personne, une recherche de l’adresse sur un forum peut permettre de retrouver par exemple le prénom si on s’en sert comme pseudo.
Une fois qu’il a le nom, le pirate peut retrouver des données sur Orange, eBay, Spotify, j’ai accès à un grand nombre d’informations. Le pirate n’a plus qu’à faire son recoupement, et lancer ses escroqueries.
Il ne s’agit pas de quelque chose de techniquement compliqué. Les pirates sont aujourd’hui avant tout des débrouillards (parfois certes talentueux technologiquement), qui utilisent des logiciels spécialisés pour le piratage. Et ils ont surtout… du temps ! Avec donc ce trio d’éléments – de la débrouillardise, éventuellement quelques outils et du temps à consacrer au piratage – on peut recouper un nombre considérable de données grâce à une simple adresse mail mal protégée.
Je suis intervenu récemment auprès de jeunes enfants pour faire de la prévention. À une classe, je leur ai demandé la veille de mon intervention de me donner leur identité. À partir de leur seul nom, j’ai pu retrouver le mail de quinze d’entre eux. À partir du mail, je retrouve leur Facebook; et à partir de leur Facebook j’ai accès à toute leur vie. Je peux donc aussi retrouver l’accès à certains outils qu’ils utilisent comme Skype. J’ai mis dix minutes. Un pirate professionnel qui veut nuire à une entreprise y passera plus de temps mais le principe est le même.
Atlantico - Il est fréquent d'avoir à donner son email pour s'inscrire à tel ou tel service sur le web (au moins pour avoir un mail de confirmation de l'inscription). Existe-t-il un moyen de se prémunir de tout risque ? À quoi faut-il être attentif ?
D. B. - Il y a un moyen simple et assez efficace : partout où vous vous inscrivez, vous créez une adresse email dédiée. Ainsi, si le site où vous êtes inscrit se fait pirater et que l’on vole sa base de données, il n’y aura qu’un seul email qui correspondra à cette seule inscription qui sera mise en danger. De plus, je pourrai de mon côté identifier quel site dont je suis utilisateur a été piraté.
Il ne faut donc jamais centraliser ses inscriptions sur une seule adresse email. C’est à cause d’une centralisation excessive que des groupes, comme la "Syrian electronic army", ont réussi à pirater le Washington Post ou le New York Times. Un compte mail par inscription est donc la solution la plus efficace. C’est long, cela nécessite un mot de passe différent à chaque fois, mais on ne peut se faire pirater que peu d’informations à la fois.
Atlantico - Comment un pirate peut-il récupérer notre adresse email hormis en la volant des bases de données d'un site où nous nous sommes inscrits ? Existe-t-il des techniques pour récupérer cette information si elle n'a jamais été communiquée volontairement ?
D. B. - L’outil principal, c’est l’outil humain. Le pirate professionnel qui cherche une information va commencer par le réseau social, en demandant votre adresse à un de vos collègues, voire à fouiller les poubelles, qu,i lorsqu’elles sont à l’extérieur, sont considérées comme étant sur la voie publique et donc accessibles à n’importe qui. Une autre forme d’attaque est de suivre de près vos contacts qui, à un moment donné, vont lâcher des informations vous concernant. Il existe enfin des sites d’Internet qui vont rechercher des informations vous concernant (comme yatedo.fr) alors que vous ne leur avez rien demandé. En tout cas, même si c’est possible de trouver des informations, il sera évidemment beaucoup plus difficile de trouver un email si la personne ne s’est jamais inscrite nulle part.
Atlantico - Est-ce que tous les sites proposant des services d'email offrent le même niveau de sécurité pour un particulier ? Et toutes les adresses email subissent-elles les mêmes risques ou peut-il y avoir des "astuces" pour avoir une adresse plus "sûre" ?
D. B. - Une adresse électronique par nature n’est pas sécurisée, c’est donc son contenu qu’il faut sécuriser. Ce qui est sur votre boîte mail n’est physiquement pas chez vous, mais "ailleurs". Et si cet "ailleurs" n’est pas sécurisé correctement, ce qui est difficile à vérifier, vous êtes en danger.
Et non, tous sites proposant des adresses email ne se valent pas. Aujourd’hui, je ferais plus confiance à un serveur d’email qui proposera la double authentification. C’est le cas de Gmail par exemple. Il est important de vérifier a minima que le site propose aussi le chiffrement des données, le fameux "https". Mais ces serrures peuvent de toute façon toujours être contournées.
(http://www.atlantico.fr/decryptage/experience-qui-prouve-ceux-qui-en-douteraient-risques-donner-adresse-mail-importe-qui-damien-bancal-1588255.html)
Portail