Comment un pirate pouvait hacker un compte Hotmail/outlook, et comment se protéger

  1. Accueil
  2. Hacking Éthique
  3. Comment un pirate pouvait hacker un compte Hotmail/outlook, et comment se protéger

Article mis à jour.

Cet article a pour but de mieux comprendre comment un pirate pouvait (ou pourrait dans le futur) pirater votre compte Hotmail/Outlook/Live, afin de vous en prémunir concrètement. Nous parlerons également d’une faille à présent corrigée qui montre bien qu’une erreur d’implémentation avait des conséquences désastreuses. Ce qui nous permettra de tirer des conclusions sur les étapes à mettre en place pour la sécurité de nos comptes.

Je rappelle que ce site n’a pas pour vocation d’aider à pirater mais à comprendre les attaques pour se défendre. Aucune technique de piratage fonctionnelle ne sera expliquée.

Comment un pirate pouvait-il si facilement hacker un compte Hotmail ou Outlook ?

Le problème de fond en sécurité informatique est toujours le même : c’est l’être humain.

Hotmail (désormais Outlook) a bien amélioré la sécurité de son site/système en rajoutant notamment des alertes de connexion et l’authentification à double facteur (2FA). Mais le problème était double et se situait au niveau des adresses de « secours ». Il s’agissait d’adresses e-mail à fournir obligatoirement à la création d’un compte.

Nous avions d’un côté des internautes peu soucieux de la sécurité de leur compte qui remplissait n’importe quoi dans le champ de l’adresse de secours. Et de l’autre côté les développeurs Microsoft qui affichaient l’adresse de secours d’un compte donné à tout le monde.

Vous devinez ce qui se passait si un individu malveillant passait par là et que l’adresse de secours n’existait pas… il pouvait la créer tout simplement… avec les conséquences qui s’en suivaient.

Méthodes de prévention

Il suffisait d’une démarche très simple, presque naturelle pour voler un compte. Sachant le nombre d’utilisateurs (et le budget), c’était ainsi une véritable aberration de la part de Microsoft qui retombe bel et bien sur la faute humaine.

Vous savez maintenant qu’il faut faire (très) attention à l’adresse de secours d’un compte, elle est aussi importante que l’adresse principale. Sachez également que le fait de ne pas se connecter pendant longtemps rendait votre compte réutilisable par n’importe qui d’autre (encore une aberration)…

De manière générale : toutes les informations de sécurité autour de votre compte doivent être prises au sérieux, et mises à jour dès maintenant s’il le faut. Je dirais même qu’au delà des bonnes pratiques, il convient de sélectionner un hébergeur mail soucieux de la sécurité de ses utilisateurs.

Comment ne plus se faire pirater à l’avenir

Ne donnez jamais VOS propres identifiants (adresses e-mail et mot de passe) à certains sites web ou programmes. Si vous recherchiez activement comment hacker un compte hotmail avant de venir ici vous êtes sûrement tombé sur des « sites spécialisés » et autres « donne moi tes identifiants, je te le fais en 2 secondes ». Ce n’est pas vrai, soyez méfiants ! Vous pouvez voir un exemple dans l’article Comment un pirate risque de pirater votre Compte Facebook dans lequel je teste moi-même les sites qui vous proposent de pirater « en un clic » (ou en plusieurs, d’ailleurs) pour vous montrer qu’ils sont faux, preuves à l’appui.

Faites attention aux keyloggers, qui récupèrent purement et directement vos mots de passe

Vous vous dites que outlook.com est en https, que vous utilisez un proxy ou vpn et que personne ne pourra donc vous voler votre mot de passe.

FAUX.

Les keyloggers récupèrent ce que vous tapez sur votre clavier, peu importe la fenêtre active, peu importe le chiffrement de la connexion.

Faites attention au Phishing, qui vous fait croire que vous vous adressez à un site officiel

Avec les keyloggers, le phishing est l’une des attaques les plus populaires pour pirater un compte quel qu’il soit. C’est simple, on vous fait croire que vos informations ne sont pas à jour (ou tout autre technique dans ce genre) pour vous envoyer sur un faux site qui récupère votre mot de passe. Le phishing logiciel existe aussi, typiquement avec des programmes qui vous demandent de vous connecter pour effectuer une action alors qu’ils récupèrent votre mot de passe.

Faites attention à avoir une adresse de secours valide, et non pas inutilisée ou inexistante

Outlook/Hotmail oblige de choisir au moins deux éléments d’identification, mais pour beaucoup d’utilisateurs, ces informations sont inutiles, d’où le problème !

C’est exactement comme envoyer son mot de passe à quelqu’un au hasard. Il est également possible pour n’importe qui de créer cette adresse, qui n’existait pas forcément avant.

Faites attention à choisir une réponse compliquée à la question de sécurité

Dans la même lignée, les utilisateurs pensent ne jamais avoir besoin d’utiliser une réponse secrète, ils la donnent donc au hasard (et ne s’en souviennent plus lorsque leur compte est piraté) ou répondent normalement à la question, ce qui semble être une bonne chose. Mais ça ne l’est pas du tout, car si l’on connaît le « nom de votre premier animal » ou votre « lieu d’étude »…. tout est perdu !

Faites attention à ne pas montrer le contenu de votre boite de réception et de vos informations de compte

Consulter ses mails au boulot ou à l’école semble anodin. Mais si une personne mal-intentionnée prend note de ce qu’elle voit, elle peut pirater un compte quel qu’il soit. Car en utilisant un formulaire de récupération de compte, n’importe qui peut se faire passer pour vous en connaissant beaucoup d’informations sur votre compte, et donc réinitialiser votre compte.

Sécurisez bien vos comptes en amont

Une fois que vous êtes piraté(e) c’est bien souvent trop tard. Pensez à l’authentification en deux étapes, au mot de passe ou numéro de téléphone de secours et le plus important : Soyez méfiant(e) et sensibilisé(e).

Voir ici pour bien débuter en hacking éthique et voir l’article suivant pour récupérer un compte piraté.

Dans cette volonté de sécuriser les systèmes et afin de vous apprendre les concepts fondamentaux du hacking éthique, sachez qu’un guide complet est également disponible ici : Les Bases de la Sécurité informatique (apprendre les concepts de la sécurité informatique)

Vous pouvez également vous orienter vers le guide Comment protéger son ordinateur et sa vie privée.

138 Commentaires. En écrire un nouveau

  • j’ai des connexions sur ma boite mail avec une ip dont l’utilisateur est coucou-net.fr. quelqu’un peut-il me dire à qui ou à quoi correspond cette ip ou ce nom.
    merci par avance de vos réponses et de votre aide

    Répondre
  • bonjour . je veux recuperer mon compte outlook si c’est possible .

    Répondre
  • etchegaray eliane
    19 février 2016 15 h 50 min

    Depuis qq temps je reçois des mails sur mon adresse hotmail.fr qui me demandent pour des raisons de sécurité de confirmer mon compte ou des avertissements avant la fermeture de mon compte.Connaissant toutes les arnaques je ne pense pas qu’ils viennent d’outlook donc je ne donne pas suite à ces mails mais je voudrai savoir si vous;vous pouviez faire cesser ces envois incessants de mail ;je vous donne qq adresses de ces mails :membre service([email protected])ou servicecourrier([email protected])

    Répondre
  • Bonjour etchegaray eliane,

    En réponse à votre question:  » …je voudrai savoir si vous;vous pouviez faire cesser ces envois incessants de mail .. »

    Imaginez un ou des inconnus qui vous envoient par avalanche des courriers postaux dans votre boite aux lettre chez vous. Si vous vous rendez à La Poste et que vous leur demandiez d’arrêter de recevoir ces courriers postaux, La Poste vous répondra que ce n’est pas possible.

    En revanche, vous pouvez demander à votre concierge de filtrer et jeter ces courriers postaux publicitaires etc. Le rôle du « concierge » dans votre messagerie électronique incombe à la fonctionnalité « antispam » (onglet « Courriers indésirables ») de votre Web Mail ou de votre logiciel de messagerie électronique. C’est donc à vous de filtrer et d’indiquer à votre boite aux lettre électronique quels sont les emails à « jeter » pour qu’ils n’apparaissent plus dans votre boite de réception.

    Une des meilleures manières de se protéger dans l’absolu est de changer régulièrement le mot de passe de son compte de messagerie électronique (1 fois par mois idéalement ou 1 fois par trimestre) et d’associer son numéro de mobile à son compte de messagerie pour le sécuriser en cas de « piratage ». Vous trouverez sur leblogduhacker.fr toutes les explications utiles et les tutoriels abordant ce sujet.

    Répondre
  • Salut,
    Mon mot de passe vient d’être changer ainsi que toutes les informations de sécurité. Est-il possible de le récupérer ?

    Répondre
  • Françoise Pilliod
    4 janvier 2017 16 h 53 min

    Bonjour,
    Une personne utilise mon compte hotmail pour passer des commandes, des annonces à mon nom, des inscriptions sur blog et elle l’utilise même pour m’écrire des insultes. Pourtant j’ai toujours fait très attention et actuellement j’ai l’authenticator, cela n’empêche elle continue. Elle fait de même avec mon adresse yahoo. Avez vous une solution ?

    Répondre
    • Bonjour,
      Je pense (et suis presque certain) que cette personne est entrée dans votre ordinateur ou dans un de vos autres équipements informatiques, notamment si elle se reconnecte régulièrement à votre compte malgré vos actions. Je vous propose donc de vous occuper de la sécurité de vos équipements avant tout, puis de changer vos mots de passe. Des pistes : protéger son pc Protéger son ordinateur et sa vie privée

      Répondre
    • Si tu es sûr de l’identité de la personne et que tu reçois menaces ou insultes voici un lien vers le site qui peut t’aider:

      https://www.internet-signalement.gouv.fr/PortailWeb/planets/Accueil!input.action

      Il ne faut pas hésiter si tu es sûr de toi car cela commence par des insultes et puis et puis, petit à petit, cela peut te pourrir la vie.
      Déjà, installe un bon anti-spyware pour voir si tu n’as pas un logiciel espion sur ton pc.
      Mais ne baisse pas les bras et ne te laisse pas faire.

      Répondre
    • Certaines personnes s’installent dans votre vie comme un ver dans le fruit et vous la pourrissent. Rien n’est plus facile pour un acker que d’avoir accès à toutes les données lorsqu’il s’est installé dans vos appareils comme ce ver. Il faut aussi penser à une personne proche tout simplement.

      Répondre
    • Si elle passe des commandes il doit bien y avoir une adresse de livraison a moins que vous receviez vous-même les articles. Je ne comprends pas les motivations de cette personne…

      Répondre
    • Je pense que cette personne en connais beaucoup sur vous. Elle doit avoir accès d’une façon ou d’une autre à vos équipements ou à vos mots de passe. Changez-les régulièrement.

      Répondre
    • Pose toi la question : comment fait-elle pour avoir mes mots de passe ? Ou il y a un spyware installé sur ton ordi ou ton téléphone, ou c’est une personne qui se connecte physiquement à tes appareils. Un anti spyware éliminera la première solution et si cela continue pose toi des question sur ceux qui ont accès aux appareils. Pourquoi quelqu’un chercherait-il à te nuire à ce point ?

      Répondre
    • Je précise qu’elle est très intelligente, elle continue toujours et me traite de looseuse pour se moquer de moi. J’ai vraiment l’impression que pour elle c’est un jeu et qu’elle se paie ma tête 🙁
      .

      Répondre
    • Porte plainte, il doit bien y avoir des traces, non ? Elle sont livrées où ces commandes, elle les paye avec ta carte ?
      Si tu n’arrives pas à la coincer c’est qu’elle est très maline alors et très douée cette personne alors soit méfiante car elle doit en savoir beaucoup sur toi. Courage

      Répondre
  • Moi pareil avec tous mes comptes. je suis désespérée

    Répondre
  • Bonsoir Michel,
    J’ai Keyscrambler pour je penses pallier au problème de keyloger, est-ce efficace ?
    Marc

    Répondre
  • Trop bien

    Répondre
  • Bonjour J’ai besoin d’aide Cela fait maintenant environ 7 ans que je suis inscrite sur twitter, mais voilà on m’à demandé mon adresse email j’ai essayé de récupérer mon compt twitter malheureusement L’adresse email et le mot de passe et le numéro de téléphone n’existe pas avec lequel je me suis inscrite. alors voilà
    je suis arrivé sur ce site car je cherche activement depuis plusieurs semaines comment me pirater moi même ouais ça fait con dit comme ça.
    Voilà l’histoire: je voulais essayer de récupérer mes comptes. twitter, Maintenant j’attend vos idées lumineuses svp merciiii

    Répondre
  • je rencontre un problème actuellement, je dois absolument récupérer l’accès à mon adresse mail ; @hotmail.fr ! Cependant, j’avais un numéro de téléphone associé à ce compte il se trouve que je n’ai plus ce numéro et je me rappelle plus de la réponse que j’avais mise à l’époque en sécurité du coup, je me retrouve dans l’incapacité de me connecter !! Comment je peux faire pour récupérer mon adresse mail?? D’avance merci !!

    Répondre

Laisser un commentaire

Menu
More in Hacking Éthique, Failles Humaines
URGENT : Phishing Free Mobile, ne vous faites pas avoir !

Je publie ce post relativement dans l'urgence car je viens de faire face à une tentative de phishing free mobile qui est particulièrement bien faite...

Close