Wiki source for Blog20160114CompromissionDeCompte


Show raw source

Une amie m'a appelé concernant la compromission du compte Facebook d'une amie...


===Compromission de compte : cela a des impacts===
Concernant Facebook :

~- cela permet de l'usurpation d’identité
~- cela permet de publier des choses illégales ou, plus subrepticement, que n'aurait pas voulu celui ou celle s'étant fait usurper son compte
~- cela fait perdre de l'argent ou du temps
~- cela peut aller plus loin : récupération d'informations personnelles, privées
~- cela peut aller encore plus loin : de proche en proche, cela peut toucher plus de monde et ce sera à _vous_ de le rattraper (image... notamment, trouver tous ceux qui ont été contactés...)
~- cela peut s'étendre : de Facebook au mail, au compte Jabber, à l'appel sur le mobile, au versement via virement sur un autre compte
~- pourtant, cela est répréhensible : 3 ans d'emprisonnement et 30 k€ (CNIL, HADOPI...) : maintien dans un système informatique sans autorisation, c'est une peine plus lourde que pour un violeur ou un pédophile (à vérifier, vous verrez).
~- et ce n'est que le début...

===Pour réagir : tout changer===
~- votre mot de passe utilisé partout est compromis : partout où il est utilisé, il va falloir le changer !
~- le système en place est compromis : arrêter de l'utiliser, mieux vaut le fermer (en purgeant tout, si c'est possible) ou être en mesure de tout réinstaller de manière maîtrisée
~- vérifier si vos paramètres ont été changés : notamment le mail de récupération de mot de passe, mais pas seulement
~- retrouver tous ses comptes mail : changer au moins le mot de passe (et de proche en proche changer les moyens de récupérer la maîtrise sur ce compte mail)
~- changer ses informations personnelles (les enlever) et revoir sa configuration pour récupération des mots de passe (nom de votre animal de compagnie, nom de jeune fille de votre mère, date de naissance...)
~- retrouver tous ses accès : ils sont compromis
~- yahoo, hotmail, gmail : revoir tous les points au-dessus, plutôt tout changer si vous maîtrisez votre accès, utiliser des réponses différentes sur chacun : eux ne maîtrisent pas qui a eu accès à vos réponses :/)
~~- techniquement pour vos mails, ce n'est pas trop compliqué : utiliser un préfixe de votre choix (comme un code PIN associé à chaque service, comme pour votre carte bleue) cela permet d'avoir la même réponse couplée à un secret connu de vous seul.
~- changer ses clés GPG, SSH, les repropager (c'est d'une galère... autant noter comment le faire avant, l'automatiser serait être parano...)
~- avertir sa banque, tous vos interlocuteurs qui ont votre numéro de mobile (et ne demandent pas plus), s'assurer que la photocopie de votre carte d’identité n'est pas scannée
~- avertir tous ceux qui ont un accord SEPA (même si vous êtes par défaut protégé) : EDF, Engie, assureur, loueur ou syndic...
~- et ce n'est pas fini !
~- en gros : tout ce qui était accessible est désormais connu, il faut tout changer et ne pas croire que cela n'arrive qu'aux autres (et arrêter de donner trop d'informations que vous croyez « personnelles » : le nom de votre cleps est sur votre blog hein...)

===Exemples, conséquences===
~- mail : tous vos mots de passe sur beaucoup de services sont connus
~- mot de passe faible : utilisé pour combien d'autres services ? Depuis combien de temps ? Code PIN de la carte bleue / visa / gold ?
~- date de naissance : code PIN ?! (carte bleue, mobile...)
~-

===Une attitude personnelle responsable===
C'est un peu illusoire, mais tenir compte des conséquences :

~- ne pas accepter des conditions que vous n'êtes pas prêt à accepter : par exemple, Facebook conserve la possibilité de diffuser des contenus même si vous vous êtes désinscrit, est-ce légitime ? (la désinscription devrait valoir révocation de diffusion)
~- lire les conditions d'inscription initiales : si c'est acceptable, accepter ; si ce n'est pas acceptable, que faire ? (je n'ai pas la réponse, je n'utilise plus google vu que je n'ai pas réussi à lire l'intégralité de leurs conditions avant d'accepter, oui, je fais partie deu peu de personnes lisant ce que l'on me demande d'accepter... https://duckduckgo.com/ le remplace efficacement).
~- cela a des conséquences :
~~- le boycott d'amazon pour le dépôt de brevet du one-click-to-buy impose de ne rien acheter par amazon (mais n'empêche pas de l'utiliser pour acheter ailleurs à de meilleurs prix)
~~- les infos accessibles sur des sites imposant de payer avant de les voir sont disponibles par ailleurs (il faut parfois chercher)


===Une compréhension de certains fonctionnements===

bizarrement, google n'applique pas les mêmes conditions pour youpron :-) c'est très révélateur àmha.
si c'est gratuit : soit c'est par engagement (ça existe encore), soit tu es le produit ; le gratuit ou à coût modique reste légitime tant que les conditions sont clairement annoncées, si elles ne le sont pas, il y a un souci (au moins au titre de la vie privée).

Par exemple :
~- Facebook est gratuit
~- LinkedIn est gratuit
~- twitter est gratuit
~- http://framasoft.net est gratuit
~- http://slashdot.org est gratuit
~- http://gnu.org est gratuit
~- http://tuxfamily.org est gratuit
~-

===Mais quels sont les modèles économiques ?===
~- on a un boulot à côté, le libre me plaît
~- je suis payé par une fondation
~- je fais cela pour la gloire
~- je vis encore chez mes parents
~- je suis payé par une multinationale pour faire du libre
~- le freemium n'est pas libre, c'est un produit d'accroche
~- le libre est dispo, mais certains préfèrent payer
~- le libre est dispo, mais certains veulent du support
~- personne ne comprend rien au libre : le logiciel est payant, le support aussi, tenez-nous informés du déploiement
~-

===Comment procède un cracker ?===

~- password reste le MDP le plus connu : quant on te demande enter password, tu tapes password ou tu comprends qu'il faut choisir un mot de passe ?
~- et ensuite

===Certaines multinationales reconnaissent violer votre vie privée===
je ne parle même pas des applis mobiles qui volent votre liste de contacts (en installant un logiciel censé utiliser le flash du mobile pour faire lampe-torche, ou un simple chat qui miaule...)
https://yro.slashdot.org/story/17/01/10/2243215/microsoft-to-enhance-user-privacy-controls-in-upcoming-windows-10-update

en lien avec rgpd / gdpr sur les données personnelles : https://yro.slashdot.org/story/19/03/01/2325206/ask-slashdot-how-is-it-even-legal-for-websites-to-gather-and-sell-users-data



Valid XHTML :: Valid CSS: :: Powered by WikkaWiki