Il y a un bon mois, une petite brève a fait sourire beaucoup d’entre nous, un hacker auvergnat piratait le compte Twitter de Barack Obama ! Ce qui est intéressant dans cette histoire, c’est la méthode de ce hacker, car elle est applicable par tous.
Aujourd’hui, il y a toujours comme depuis le début de l’informatique, les vrais hackers qui investissent de longues années de leur vie à étudier & comprendre les systèmes, trouver leur faille… et qui finalement utilisent des techniques complexes que peu de gens sont capables d’appliquer.
Mais il y a aussi de plus en plus d’individus lambda qui peuvent « hacker » ou « bricoler » certains systèmes en se basant simplement sur la logique & la facilité d’accès aux informations donnée par le web. Dans le cas de notre exemple, la méthode est basée sur la logique. Un mot de passe, s’il est bien choisi (e.g. cf. les règles évoquées dans le guide protegor :)) peut être difficile à casser informatiquement (ou ça prend beaucoup de temps). Mais certains, après avoir choisi un mot de passe compliqué, remplissent la fameuse « question secrète » (méthode couramment répandue pour retrouver son mot de passe quand on l’a perdu… vu que l’envoi d’un mot de passe par email n’est pas très sécurisé non plus) avec une réponse simplissime.
Ces questions secrètes sont formattées et souvent basiques pour que chacun puisse l’appliquer à son cas, et il suffit alors au « hacker » d’enquêter un peu sur sa victime pour trouver la réponse qui sera le sésame pour que le système lui divulgue le mot de passe. Pire, parfois le système propose à l’internaute de formuler lui même la question secrète qui lui sera posée pour accéder à son mot de passe… très bien si la question est compliquée, mais certains remplissent le champ par une évidence (« 1 + 1 = ? ») !
Cette méthode n’est finalement pas du « hacking » mais de l’investigation… du boulot d’ « apprenti détective », rendu souvent très simple avec les réseaux sociaux.
Trouver le nom de jeune fille de sa victime, la préfecture de naissance de sa mère, la marque de sa première voiture, son acteur préféré, son meilleur ami d’enfance, son animal de compagnie, etc. peut en effet s’avérer plus facile que de mettre en place un système technologique pour cracker le mot de passe. Parfois c’est même très simple… pour trouver le meilleur ami, aller sur le facebook de la victime permet de vite réduire les champs du possible, et avec une bonne capacité de déduction, il est parfois possible de trouver la solution en quelques clics.
En conclusion, rien ne sert d’avoir un mot de passe « béton » s’il est associé à une « question secrète » dont la réponse peut être trouvée par un tiers !
Le truc est de rajouter une renseignement hors sujet.
Par exemple, si le premier prénom de la mère est marie, on peut écrire */eiram/* ou m1a2r3i4e5 ou MREAI… Dans le premier cas, j’ai ajouté */ et /* puis fait une inversion. Dans le second, ajouté des chiffres. Pour le dernier, retiré une lettre sur deux et mise à la fin dans l’ordre. Un code César ou un ROT-13 serait aussi efficace.
@George : le problème de votre solution est que la réponse à la question secrète est encore plus compliquée à mémoriser que le mot de passe correspondant.
Je propose une alternative : ne pas répondre à la question posée mais indiquer un mot clé décalé, le même quelque soit la question posée.
Exemple : le prénom de ta mère : « poulidor », ton lieu de naissance : « poulidor » le nom de ton animal favori : « poulidor », le modèle de ta première voiture : « poulidor » …
en plus ça peut être rigolo …