Accueil | Publications | PGP Key

COMMENT SE FAIRE PIRATER UN COMPTE EN DEUX MINUTES (ET SANS CONNAITRE LE MOT DE PASSE)

Publié le 2 décembre 2015

Une adresse e-mail jetable c'est bien, mais adresse jetable ne veut pas dire adresse anonyme (même si ces services prétendent le contraire).

L'e-mail, c'est un sujet de sécurité informatique et de confidentialité dont on peut débattre pendant des heures. Mais nous en viendront tous au même point : on reçoit trop d'e-mails dans sa boite. Combien de fois avez-vous pesté en réalisant qu'il vous fallait un compte pour payer sur tel site, ou pour laisser un message sur tel forum, ou que sais-je encore !

Puis Dieu (ou quelqu'un comme ça) a créé le service d'e-mail jetable. Le principe est simple :

  1. Vous choisissez un nom d'utilisateur,
  2. ...et c'est tout.
  3. La boite est fonctionnelle !

Pas besoin de renseigner votre nom, prénom, adresse et groupe sanguin, pas besoin non plus de créer un mot de passe et d'ajouter une adresse e-mail de secours.

C'est très pratique... sauf quand ça sert à tout et n'importe quoi.

Comprenez bien : si vous n'avez pas besoin de mot de passe pour consulter votre adresse jetable, alors personne d'autre n'a besoin d'un mot de passe pour consulter la boite !

Parmi 99% de spams pour des sites de rencontre, on peut trouver des informations intéressantes.

Un compte sur un site de e-commerce :

Un compte DriiveMe :

Un compte Microsoft (!) :

Inutile de préciser avec quelle simplicité on peut prendre contrôle de ces comptes, et accéder à des informations beaucoup moins "jetables".

Bref, si vous êtes adeptes de ce genre de service, ne les utilisez pas pour créer des comptes sur des services de e-commerce et encore moins pour valider la création d'une adresse e-mail (beaucoup de webmails demandent une adresse e-mail de secours).

Et encore, je ne parle pas des dangers plus techniques (logs, informations dans les headers, etc.). Bref, si vous utilisez ce genre de service, prenez autant de précautions que nécessaire.