HERBERT H. THOMPSON, jeune et brillant professeur, anciennement consultant dans une société de sécurité informatique a tenté une expérience originale. Avec l’accord d’une de ses connaissances, il a essayé (et réussi) à obtenir des informations confidentielles et ainsi à s’introduire dans les comptes bancaire en ligne de celle-ci.
C’est ainsi qu’au fil de son récit il nous montre à quel point il est facile d’obtenir ces informations cruciales mais cependant suffisantes pour voler l’identité d’une personne.
Pour ce faire, il n’utilise pas d’outils ou de techniques très compliqués, juste du bon sens à la porté de tout le monde maitrisant un tant soit peu Internet. Ce n’est pas du hacking ou l’exploitation d’une vulnérabilité quelconque.
Préambule: La personne visée, qui s’appelle Kim, est très peu connue d’Herbert (c’est une amie de sa femme). Il sait juste comment elle s’appelle (nom et prénom), où elle est née (ville d’origine), où elle travaille, son age et quelle est sa banque. Jusque là rien de bien fondammental. Je suis persuadé que vous connaissez au minimum ces informations de votre collègue de bureau ou de l’ami d’un ami. Au pire, il est très facile de savoir cela au détour d’un forum ou d’un réseau social quelconque… (sauf la banque qui est moins évidente, mais pas très difficile non plus au détour d’une conversation).
Acte 1: Fort de ces informations, Herbert se lance dans la phase de reconnaissance. Une rapide recherche sur Google lui donne un blog et un C.V. de Kim. Le blog lui donne une foule d’informations personelles comme le nom de son animal de compagnie, le prénom de sa grand-mère, … et son adresse Gmail. Du C.V., il en retire une vielle adresse email fournit par l’établissement scolaire de Kim. Toutes les informations ne lui serviront pas, et pourtant…
Acte 2: Il se connecte sur le site de la banque de Kim et fait une demande de récupération de mot de passe. Aucune information n’est demandée et le site indique simplement qu’un email a été envoyé avec le nouveau mot de passe réinitialisé ou le lien de réinitialisation (chose très courante de nos jour). Du coup, sa prochaine cible devient le compte email précédement cité.
Acte 3: Herbert suppose que le compte email utilisé est Gmail. Il se connecte donc sur Gmail et fait une demande de récupération de mot de passe. On lui indique (avec nom de domaine et tout ce qui va bien) alors qu’un email avec le mot de passe réinitialisé a été envoyé sur l’adresse scolaire de Kim.
Acte 4: Nouvelle cible, le compte email de l’école. Une nouvelle fois, il utilise la fonction mot de passe oublié. On lui demande une adresse postale (trouvée sur le C.V.), un code postal (idem), et une date de naissance (jour, mois, année). Il n’a pas cette information.
Acte 5: Au Etats-Unis, les infractions au code de la route sont publiques. Il navigue sur le site de la cour de justice mais ne trouve pas son bonheur. Il change alors de stratégie
Acte 6: Herbert retourne sur le blog de Kim, et là forcement, il trouve un billet ou Kim raconte comment son anniversaire s’est déroulé tel jour (pas d’année, mais il connait approximativement l’age de Kim). Remarquons que sur Facebook par exemple, certaines personnes font apparaitre clairement cette information (avec jour, mois, année). C’est encore plus facile.
Epilogue: Il retourne sur le compte email scolaire de Kim, fait plusieurs essais (scandaleux que cela ne bloque pas au bout de 3 essais) et tombe sur la bonne année de naissance. il a donc accès au compte email. Grâce à ce dernier, il récupère le mot de passe envoyé par Gmail et réinitialise le compte Google avec des informations personnelles (blog, C.V., …). Il se logue sur Gmail et récupère le lien de réinitialisation du compte bancaire. Idem, réinitialisation du compte bancaire. C’est fini! Il peut s’amuser avec l’argent de Kim.
Conclusion de tout ca: il faut se proteger sur Internet, et ne pas laisser trainer des informations personnelles à mauvais escient.
