Compte mail hacké

[Stéphane Santon]

Bonjour,

Peut-être hors charte.

J'ai reçu un courriel de hacker m'informant qu'il a piraté ma boîte
mail. Il donne l'adresse ET le mot de passe, donc il l'a effectivement
trouvée.

C'est une boite sur mon nom de domaine perso chez OVH (domaine que
j'utilise ici).

C'est une boîte familiale que je n'utilise (quasiment ?) que par
Thunderbird, pas de webmail.
Heureusement, j'ai un mot de passe différent pour chaque usage.

Donc maintenant je me demande comment il a pu hacker cette boîte vu le
peu d'activité qu'elle a hors Thunderbird.
Est-ce la force brute passe encore sur les webmail comme OVH ?

Des pistes ?

Merci

--
Stéphane
BTS Electrotechnique *** http://www.bts-electrotechnique.fr

[Stéphane Santon]

Re,
Le programme de source non sure que j'ai chargé récemment est

https://www.mp3tag.de/en/download.html

Sinon je ne vois pas quel programme se serait infiltré sur mon ordi.

L'accès à mon compte Thubderbird est en SSL/TLS.
a+

Stéphane Santon a écrit :

[Marc SCHAEFER]

Stéphane Santon <m.usen...@santonum.eu> wrote:
> Donc maintenant je me demande comment il a pu hacker cette boîte vu le
> peu d'activité qu'elle a hors Thunderbird.
> Est-ce la force brute passe encore sur les webmail comme OVH ?
>
> Des pistes ?

Si le mot de passe est facile, il se peut très bien que le pirate ait
utilisé un réseau de bots (command-and-control) qui a testé quelques
mots de passe, lentement, passant outre les sécurités contre le
brute-force.

Dans tous les cas il faut signaler à OVH et changer le mot de passe et
contrôler les autres configurations. Et sous plateforme Microsoft,
procéder à une réinstallation, de préférence, ou, sinon, à un scan avec
un anti-virus démarrable.

--
Attention: limitez le nombre de lignes de citation à l'essentiel, sinon
je ne verrai pas votre réponse.

[Marc SCHAEFER]

Stéphane Santon <m.usen...@santonum.eu> wrote:
> https://www.mp3tag.de/en/download.html

La version actuelle de cet exécutable Microsoft est montrée comme ne
contenant pas de menace connue p.ex. avec https://www.virustotal.com/gui/file/520e74932fd8e59ca5febacd12ef9f6719cdfb955aa1341ff253c5e792167293

Les hashes du fichier md5 et sha256 sont:

1ab9cd20cffbc19f1a3361980dda1f8f Desktop/mp3tagv318setup.exe
520e74932fd8e59ca5febacd12ef9f6719cdfb955aa1341ff253c5e792167293 Desktop/mp3tagv318setup.exe

[Stéphane Santon]

Bonjour,

Info complémentaire :
ce mot de passe est enregistré parmi d'autres sur ma page de Webmail
dans Firefox.
Et j'ai un profil Firefox pour synchroniser le PC de bureau avec le
portable.
Est-ce que le mot de passe aurait été intercepté lors d'une synchro
Firefox sur un point d'accès public ?



Stéphane Santon a écrit :

[Marc SCHAEFER]

Stéphane Santon <m.usen...@santonum.eu> wrote:
> Est-ce que le mot de passe aurait été intercepté lors d'une synchro
> Firefox sur un point d'accès public ?

Je supposerais que cela a été fait en HTTPS, donc non.

[Jacques Belin]

Le vendredi 18 novembre 2022 19:02:14,
Stéphane Santon <m.usen...@santonum.eu> a écrit:

> J'ai reçu un courriel de hacker m'informant qu'il a piraté ma boîte
> mail. Il donne l'adresse ET le mot de passe, donc il l'a effectivement
> trouvée.

C'est quoi exactement comme message ? Un de ceux qui dit qu'il a piraté
ton ordi, enregistré des trucs que tu faisait devant ta webcam et te
demendait de payer en bitcoin ?
Si c'est un de ceux-là, pas d'inquiétude, je n'ai jamais entendu dire
qu'un seul de ces scams était réel.

En effet, ceux qui envoient ces messages, ce n'est pas des hackers,
c'est juste des mecs qui se contentent de récupérer un des milliers de fichiers
de hack contenant des couples adresse_email:mot_de_passe, sans même se
fatiguer à vérifier que les données sont exactes..
La preuve en est envoient même les messages à des adresses qui
sont des aliases, et ne correspondent pas à une boite réelle accessible
par un mot de passe.
Ceci parce que le mot de passe indiqué ne correpond pas obligatoirement
à celui de la boite gérant l'adresse mail, mais au mot de passe
donné avec ton adresse mail pour à d'un service web, qui a été hacké.

Ca serait donc pas mal d'aller d'abord voir sur le site
https://www.haveibeenpwned.com si ton adresse n'est pas référencée dans
un hack, ça serait une piste.

Sachant que même si elle n'est pas référencée, ça ne veut pas dire qu'il
n'y a pas eu de hack, c'est juste que HIBP ne référence pas tous les
hack.

> Heureusement, j'ai un mot de passe différent pour chaque usage.

Bonne pratique, justement pour détecter les mauvais usages que certains
sites peuvent faire de tes données personnelles, ou donner des indices
qu'ils ont été hackés.


Par exemple, le type de mail que tu as reçu m'a donné
d'une part la preuve que le site monster.fr avait été hacké (en fait, 3
fois en l'espace de deux ans, je l'ai appris après), et d'autre part que,
malgré le fait que j'en ait reçu plusieurs centaines sur un alias créé
et utilisé une seule fois pour tester à l'accès à ce site, HIBP ne
référence toujours pas l'adresse correspondante, avec ou sans référence
aux hacks de monster.fr..


A+ Jacques.
--
Le dernier Homme connecté sur le Net regardait d'anciens sites Webs.
"Vous avez du courrier" apparut sur l'écran...
--------------------------- adapté d'une courte histoire de Fredric Brown

[Jacques Belin]

Le vendredi 18 novembre 2022 19:36:51,

Stéphane Santon <m.usen...@santonum.eu> a écrit:

> Le programme de source non sure que j'ai chargé récemment est
>
> https://www.mp3tag.de/en/download.html

Le programmes vérolés proviennent générallement de site de downloads
externes (parfois soit-disant réputés) qui ajoutent des merdes dans
l'installeur (ne jamais télécharger firefox depuis le site de
téléchargement donné par google, vous prenez de très gros risques...)

Mais là, c'est le site officiel de l'auteur du programme (confirmé par
la page wikipedia parlant du logiciel), je doute qu'il prenne le risque
pour sa réputation de mettre un troyen dans l'installeur.

A moins bien sûr que le site ait été lui même piraté, ça s'est déjà vu.
Mais dans ce cas, l'auteur aurait depuis publié une alerte.

Bref, je ne pense pas que s'il y a piratage ça vienne de là.

[Jacques Belin]

Le samedi 19 novembre 2022 17:57:52,
Jacques Belin <jbelinP...@oryva.net> a écrit:

> (ne jamais télécharger firefox depuis le site de
> téléchargement donné par google, vous prenez de très gros risques...)

Zut, un mot avait sauté :

"ne jamais télécharger firefox depuis le PREMIER site de
téléchargement donné par google"

Enfin, pas obligatoirement le premier, mais pas mal de sites de
téléchargement de logiciels apparaissant dans les tous premiers
résultats d'une recherche google sont loin d'être respectables. Surtout
quand le nom du site ressemble au nom du logiciel en question..

C'est pour ça qu'avant de télécharger quoi que ce soit, je conseille
toujours d'aller sur la page wikipedia corresopndante de vérifier le nom
du site officiel...

[Stéphane Santon]

Bonjour,

Jacques Belin a écrit :

>> J'ai reçu un courriel de hacker m'informant qu'il a piraté ma boîte
>> mail. Il donne l'adresse ET le mot de passe, donc il l'a effectivement
>> trouvée.
>
> C'est quoi exactement comme message ? Un de ceux qui dit qu'il a piraté
> ton ordi, enregistré des trucs que tu faisait devant ta webcam

> Si c'est un de ceux-là, pas d'inquiétude, je n'ai jamais entendu dire
> qu'un seul de ces scams était réel.

Oui, je ne m'inquiète pas qu'il ait pu pirater "l'ensemble de mes
machines", tous mes comptes (perso et pro) sont assez hermétiques en
termes de mots de passes, et il n'a pas pu me filmer faire des choses
bizarres...

C'est juste qu'il ait pu déjà trouver le mot de passe d'un compte mail.

> En effet, ceux qui envoient ces messages, ce n'est pas des hackers,
> c'est juste des mecs qui se contentent de récupérer un des milliers de
> fichiers de hack contenant des couples adresse_email:mot_de_passe, sans même
> se fatiguer à vérifier que les données sont exactes..

Donc déjà je cherche à savoir d'où est sorti mon mot de passe pour
aller dans ces fichiers.

> Ceci parce que le mot de passe indiqué ne correpond pas obligatoirement
> à celui de la boite gérant l'adresse mail, mais au mot de passe
> donné avec ton adresse mail pour à d'un service web, qui a été hacké.

Oui, ce mot de passe (utilisé par la famille) a pu être utilisé sur des
services Web. (Ma femme ne retient pas un algorithme de mot de
passe...)

> Ca serait donc pas mal d'aller d'abord voir sur le site
> https://www.haveibeenpwned.com si ton adresse n'est pas référencée dans
> un hack, ça serait une piste.

Oui, mais maintenant qui me dit que ce site ne sert pas à collecter des
adresses mail pour les spammer ??

> A+ Jacques.

Merci

Bonne journée

[Marc SCHAEFER]

Jacques Belin <jbelinP...@oryva.net> wrote:
> Si c'est un de ceux-là, pas d'inquiétude, je n'ai jamais entendu dire
> qu'un seul de ces scams était réel.

Toutefois, le mot de passe indiqué est correct.

C'est ce qui m'a fait penser que le piratage était réel. C'est arrivé à
un collègue et on a ensemble découvert que c'est le serveur de mail de
son entreprise qui autorisait l'authentification non hâchée et non
chiffrée, et qu'il avait, en déplacement, accédé son e-mail.

Ce scénario semble avoir été exclu par le posteur originel.

> Ca serait donc pas mal d'aller d'abord voir sur le site
> https://www.haveibeenpwned.com si ton adresse n'est pas référencée dans
> un hack, ça serait une piste.

J'avais lu que le posteur originel utilise un mot de passe différent par
service. Sinon, effectivement, c'est le moment de changer tous ces mots
de passe, effectivement.

> Sachant que même si elle n'est pas référencée, ça ne veut pas dire qu'il
> n'y a pas eu de hack, c'est juste que HIBP ne référence pas tous les
> hack.

Typiquement, je m'y suis enregistré pour signaler tout nouveau hack
concernant mes principaux domaines utilisés par l'e-mail. J'ai parfois
des signalements et je peux ainsi informer les utilisateurs de changer
leurs mots de passe sur les services externes ainsi piratés et leur
rappeler d'avoir 1 mdp par service -- voire même, de préférence, une
adresse e-mail par service.

[Marc SCHAEFER]

Stéphane Santon <m.usen...@santonum.eu> wrote:
> Oui, mais maintenant qui me dit que ce site ne sert pas à collecter des
> adresses mail pour les spammer ??

Utilisant une adresse spécifique pour ce service, je n'ai jamais reçu de
spam dessus.

[Jacques Belin]

Le dimanche 20 novembre 2022 08:22:21,

Stéphane Santon <m.usen...@santonum.eu> a écrit:

> Oui, mais maintenant qui me dit que ce site ne sert pas à collecter
> des adresses mail pour les spammer ??

HaveIBeenPwned est un site reconnu depuis pas mal d'années, qui est là
référence dans son domaine :

https://en.wikipedia.org/wiki/Have_I_Been_Pwned

Et son auteur, Troy Hunt est parfaitement identifié :

https://en.wikipedia.org/wiki/Troy_Hunt

Vu son renom et son boulot dans la cybersécurité, il faudrait qu'il soit
complètement fou pour se risquer à collecter les adresses entrées pour
les spammer...

Et franchement, c'est clairement la personne qui a la plus grande
collection d'adresses + mots de passe au monde (même la NSA ne doit pas
avoir ça, en tout cas d'aussi récent, à cause de STARTTLS et HTTPS...).
Et il n'y a pas que des mots de passe, pas mal de hacks contiennent des
données personnelles qui par leure nature ou le site d'hacké lui même
sont parfois très sensibles.
A coup sûr, il n'aurait aucun mal, rien qu'en piochant dans cette base
de données, à trouver beaucoup plus de chose intéressantes (mots de
passe de personalitées connues, comptes professionnels sensibles, etc...)
que ce que pourraient entrer l'infime partie de la population qui va sur son
site....

[Jacques Belin]

Le dimanche 20 novembre 2022 11:56:07,
Marc SCHAEFER <scha...@alphanet.ch> a écrit:

> Toutefois, le mot de passe indiqué est correct.
>
> C'est ce qui m'a fait penser que le piratage était réel.

Non, pour ce scam là, j'en ai vu suffisament d'exemplaires pour être sûr
que les gens qui les envoient ne sont pas les hackers.

Juste pour ceux qui sont envoyés sur des adresses que j'ai créées, ils
sont envoyés principalement à des adresses qui étaient déjà spammées
bien avant l'apparition des premiers exemplaires de ce style de message,
en 2018. Que ces adresses soient publiques ou dédiées à un contact
particulier (ça fait plus de dix ans que, pour la plupart des sites que
je contacte, je crée un alias spécifique à ce site, accompagné d'un mot
de passe toujours différent).

D'autres personnes que je connais ont reçu ce genre de scam
accompagné d'un mot de passe qui avait été changé bien avant 2018....

De plus, si les envois faits dans les premiers temps étaient assez
crédibles (il n'y avait que des messages contenant un mot de passe), les
scammeurs qui on copié la recette n'ont ensuite fait que récupérer des
listes d'adresses pour faire de l'envoi en masse.

Le seul scam que je reçois avec un mot de passe, est celui concernant le
site monster.fr dont les hacks sont connus. Les autres scams envoyés à
d'autres adresses créées pour l'occasion concernent plutôt des sites
dont le hack est probable ou d'autres dont je pense que les
gestionnaires ont très probablement revendu indélicatement des données
(il y a quelques français dans le lot d'ailleurs, faudra que je me
décide un jour à leur demander des comptes...)

Bref, pour l'instant rien ne m'indique qu'il y ait eu un seul hacker
parmi ces scammeurs.
Et même sans ça, à moins de mettre des mots de passe évidents (login =
mot de passe, "123456", "<login>123", le même mot de passe sur tous ces
comptes, réponse à un fishing, etc), les hacks directs de comptes sont
extrèmement rares, c'est dans l'extrème majorité des résultat des hacks
de sites externes.
Une simple vision de le liste des sites hackés sur HaveIBeenPwned montre
l'ampleur du phénomène...

[Marc SCHAEFER]

Jacques Belin <jbelinP...@oryva.net> wrote:
> en 2018. Que ces adresses soient publiques ou dédiées à un contact
> particulier (ça fait plus de dix ans que, pour la plupart des sites que
> je contacte, je crée un alias spécifique à ce site, accompagné d'un mot
> de passe toujours différent).

C'est effectivement ce que je fais aussi. J'ai pu ainsi déterminer
l'origine de fuite de données (p.ex. tel journal a passé sa base de
données à tel autre journal du même groupe).

Malheureusement les utilisateurs font rarement ainsi: ils ont souvent le
même e-mail partout et le même mot de passe. Dans ce cas, effectivement,
il m'est arrivé de recevoir des mails d'utilisateurs qui m'ont dit,
comme pour vous:

> D'autres personnes que je connais ont reçu ce genre de scam
> accompagné d'un mot de passe qui avait été changé bien avant 2018....

`j'ai été piraté, mais c'est bizarre, le mot de passe est l'ancien':

> Le seul scam que je reçois avec un mot de passe, est celui concernant le
> site monster.fr dont les hacks sont connus.

Effectivement, déjà rencontré ce cas de figure également et signalé à
mes utilisateurs de changer leur mot de passe, voire d'utiliser d'autres
adresses e-mails pour ce genre de sites ...

[Jacques Belin]

Le dimanche 20 novembre 2022 14:31:11,

Marc SCHAEFER <scha...@alphanet.ch> a écrit:

> Malheureusement les utilisateurs font rarement ainsi:

Oui, mais c'est vrai pour les utilisateur moyens, gérér un adresse mail
par site douteux (ou pas).

A leur décharge, il y a le fait que très peu de fournisseurs de boites
mail permettent de créer des aliases..
Et plus, une fois que tu l'a utilisé pour effectuer une comande chez un
fournisseur que tu ne sais pas si tu vas retravailler avec dans le futur,
tu dois avoir aussi la possibilité de changer la redirection vers une
autre boite ("spams" par exemple) sans obligatoirement la supprimer.

Perso, je suis parfois bien content d'avoir mon propre serveur, juste
pour pouvoir faire ce genre de trucs :-)

[Marc SCHAEFER]

Jacques Belin <jbelinP...@oryva.net> wrote:
> Perso, je suis parfois bien content d'avoir mon propre serveur, juste
> pour pouvoir faire ce genre de trucs :-)

Tout à fait.

[Richard Hachel]

Le 20/11/2022 à 16:38, Jacques Belin a écrit :
>
>
> Le dimanche 20 novembre 2022 14:31:11,
> Marc SCHAEFER <scha...@alphanet.ch> a écrit:
>
>> Malheureusement les utilisateurs font rarement ainsi:
>
> Oui, mais c'est vrai pour les utilisateur moyens, gérér un adresse mail
> par site douteux (ou pas).
>
> A leur décharge, il y a le fait que très peu de fournisseurs de boites
> mail permettent de créer des aliases..
> Et plus, une fois que tu l'a utilisé pour effectuer une comande chez un
> fournisseur que tu ne sais pas si tu vas retravailler avec dans le futur,
> tu dois avoir aussi la possibilité de changer la redirection vers une
> autre boite ("spams" par exemple) sans obligatoirement la supprimer.
>
> Perso, je suis parfois bien content d'avoir mon propre serveur, juste
> pour pouvoir faire ce genre de trucs :-)
>
>
> A+ Jacques.

C'est des hackers qui vont avoir affaire au Craker's Belin.

R.H.

[Stéphane Santon]

Bonsoir,

Jacques Belin a écrit :

> Ca serait donc pas mal d'aller d'abord voir sur le site
> https://www.haveibeenpwned.com si ton adresse n'est pas référencée dans
> un hack, ça serait une piste.
>
> Sachant que même si elle n'est pas référencée, ça ne veut pas dire qu'il
> n'y a pas eu de hack, c'est juste que HIBP ne référence pas tous les
> hack.

OK, suite aux références que tu as fournies, j'ai donné mon adresse
courriel piratée à ce site, tout est passé au vert :

Good news — no pwnage found!
No breached accounts and no pastes (subscribe to search sensitive
breaches)

[Jo Engo]

Le Fri, 18 Nov 2022 19:02:14 +0100, Stéphane Santon a écrit :

> J'ai reçu un courriel de hacker m'informant qu'il a piraté ma boîte
> mail. Il donne l'adresse ET le mot de passe, donc il l'a effectivement
> trouvée.

Si c'est un gentil hacker, il te dira comment il a procédé pourvu que tu
lui demande gentiment.

Sinon l'hypothèse du wifi public vérolé tient bien la route.

Il peut aussi avoir acquis le login et le mot de passe sur un papier ou
autre document. Étant donné que tu semble dire que c'est un mail collectif
(familial), il est possible que ce soit un des usagers qui a perdu le
papier ou était écrit le mail et le mdp.

En fait on serait plus en charte sur fr.comp.securite, je ne mets
néanmoins pas le suivi, fais-le si tu as d'autres éléments.



--
Quand nous ne savons pas où nous allons, tous les chemins nous y mènent.
-+- Noëlle, sur fr.rec.photo -+-