Comment un pirate pouvait hacker un compte Hotmail/outlook, et comment se protéger

  1. Accueil
  2. Hacking Éthique
  3. Failles Humaines
  4. Comment un pirate pouvait hacker un compte Hotmail/outlook, et comment se protéger

Cet article a pour but de mieux comprendre comment un pirate pouvait (ou pourrait ?) pirater votre compte Hotmail/Outlook/Live, afin de vous en prémunir concrètement. Nous parlerons également d’une faille à présent corrigée qui montre bien qu’une erreur d’implémentation avait des conséquences désastreuses. Ce qui nous permettra de tirer des conclusions sur les étapes à mettre en place pour la sécurité de nos comptes.

Je rappelle que ce site n’a pas pour vocation d’aider à pirater mais à comprendre les attaques pour se défendre. Aucune technique de piratage n’est expliquée pour pirater des comptes d’autres personnes.

Comment un pirate pouvait-il si facilement hacker un compte Hotmail ou Outlook ?

Le problème de fond en cybersécurité est toujours le même : c’est l’être humain.

EDIT: Cette partie a été sur-éditée depuis la publication originale. D’abord pour retirer des détails trop risqués à montrer, puis pour ajouter tout de même des explications… et enfin pour faire un résumé utile et pertinent pour comprendre et s’en défendre. La faille étant à présent vieille (plus de 10 ans), il n’est plus du tout possible de la remettre en pratique.

Alors voilà ce qu’il s’était passé…

Un bon jour, sur les forums de hacking, une personne débarque pour dire qu’il peut pirater des comptes Hotmail très facilement.

« N’importe quel compte »

Il aurait en effet découvert une faille de sécurité. Il l’aurait signalée à Microsoft, qui n’aurait pas jugé pertinent de la réparer. Du coup, il l’a publiait publiquement (le scénario classique…).

Il se trouve que n’importe qui pouvait cliquer sur « mot de passe oublié » en souhaitant se connecter à un compte à pirater.

Sur PC, Microsoft demandait ainsi un numéro de téléphone ou une adresse de secours pour réinitialiser le mot de passe.

Très bien.

Sauf que sur Mobile… l’adresse de secours s’affichait !

pirater compte hotmail

Les astérisques qui cachaient à priori l’adresse de secours étaient juste « visuelles ». L’adresse était bien visible dans la source.

Mais du coup ou est le problème ?

Le problème, et c’est là qu’on en vient à la faille humaine, c’est que les internautes donnait n’importe quelle adresse en tant qu’adresse de secours ! Ne comprenant pas qu’il devait s’agir d’une adresse valide. On se retrouvait donc, moi y compris, avec des adresses de secours du type « [email protected] ».

En mettant tout cela ensemble, le piratage se profile : le pirate pouvait voir les adresses de secours, et tout simplement CRÉER l’adresse de secours inexistante… puis réinitialiser le mot de passe.

Hotmail (désormais Outlook) a bien amélioré la sécurité de son site/système en rajoutant notamment des alertes de connexion et l’authentification à double facteur (2FA).

Mais le problème fondamental que je souhaitais mettre en avant par cette démonstration est le problème humain…

Nous avions d’un côté des internautes peu soucieux de la sécurité de leur compte qui remplissait n’importe quoi dans le champ de l’adresse de secours. Et de l’autre côté les développeurs Microsoft qui affichaient l’adresse de secours d’un compte donné à tout le monde.

Félicitations tout le monde.

Méthodes de prévention

Il suffisait d’une démarche très simple, presque naturelle pour voler un compte. Sachant le nombre d’utilisateurs (et le budget), c’était ainsi une véritable aberration de la part de Microsoft d’avoir permis cela.

Vous savez maintenant qu’il faut faire (très) attention à l’adresse de secours d’un compte, elle est aussi importante que l’adresse principale. Sachez également que le fait de ne pas se connecter pendant longtemps rendait votre compte réutilisable par n’importe qui d’autre (encore une aberration)…

De manière générale : toutes les informations de sécurité autour de votre compte doivent être prises au sérieux, et mises à jour dès maintenant s’il le faut. Je dirais même qu’au delà des bonnes pratiques, il convient de sélectionner un hébergeur mail soucieux de la sécurité de ses utilisateurs.

Comment ne plus se faire pirater à l’avenir

Ne donnez jamais VOS propres identifiants (adresses e-mail et mot de passe) à certains sites web ou programmes. Si vous recherchiez activement comment hacker un compte hotmail avant de venir ici vous êtes sûrement tombé sur des « sites spécialisés » et autres « donne moi tes identifiants, je te le fais en 2 secondes ». Ce n’est pas vrai, soyez méfiants ! Vous pouvez voir un exemple dans l’article Comment un pirate risque de pirater votre Compte Facebook dans lequel je teste moi-même les sites qui vous proposent de pirater « en un clic » (ou en plusieurs, d’ailleurs) pour vous montrer qu’ils sont faux, preuves à l’appui.

Faites attention aux keyloggers, qui récupèrent purement et directement vos mots de passe

Vous vous dites que outlook.com est en https, que vous utilisez un proxy ou vpn et que personne ne pourra donc vous voler votre mot de passe.

FAUX.

Les keyloggers récupèrent ce que vous tapez sur votre clavier, peu importe la fenêtre active, peu importe le chiffrement de la connexion.

Faites attention au Phishing, qui vous fait croire que vous vous adressez à un site officiel

Avec les keyloggers, le phishing est l’une des attaques les plus populaires pour pirater un compte quel qu’il soit. C’est simple, on vous fait croire que vos informations ne sont pas à jour (ou tout autre technique dans ce genre) pour vous envoyer sur un faux site qui récupère votre mot de passe. Le phishing logiciel existe aussi, typiquement avec des programmes qui vous demandent de vous connecter pour effectuer une action alors qu’ils récupèrent votre mot de passe.

Faites attention à avoir une adresse de secours valide, et non pas inutilisée ou inexistante

Outlook/Hotmail oblige de choisir au moins deux éléments d’identification, mais pour beaucoup d’utilisateurs, ces informations sont inutiles, d’où le problème !

C’est exactement comme envoyer son mot de passe à quelqu’un au hasard. Il est également possible pour n’importe qui de créer cette adresse, qui n’existait pas forcément avant.

Faites attention à choisir une réponse compliquée à la question de sécurité

Dans la même lignée, les utilisateurs pensent ne jamais avoir besoin d’utiliser une réponse secrète, ils la donnent donc au hasard (et ne s’en souviennent plus lorsque leur compte est piraté) ou répondent normalement à la question posée, ce qui semble être une bonne chose.

Mais ça ne l’est pas du tout, car si l’on connaît le « nom de votre premier animal » ou votre « lieu d’étude »…. tout est perdu ! Et ces questions étaient vraiment posées ! C’est comme dire « le mot de passe du compte est votre lieu d’étude ». WTF.

Faites attention à ne pas montrer le contenu de votre boite de réception et de vos informations de compte

Consulter ses mails au boulot ou à l’école semble anodin. Mais si une personne mal-intentionnée prend note de ce qu’elle voit, elle peut pirater un compte quel qu’il soit. Car en utilisant un formulaire de récupération de compte, n’importe qui peut se faire passer pour vous en connaissant beaucoup d’informations sur votre compte, et donc réinitialiser votre compte.

Sécurisez bien vos comptes en amont

Une fois que vous êtes piraté(e) c’est bien souvent trop tard. Pensez à l’authentification en deux étapes, au mot de passe ou numéro de téléphone de secours et le plus important : Soyez méfiant(e) et sensibilisé(e).

Voir ici pour bien débuter en hacking éthique et voir l’article suivant pour récupérer un compte piraté.

Dans cette volonté de sécuriser les systèmes et afin de vous apprendre les concepts fondamentaux du hacking éthique, sachez qu’un cours complet est également disponible ici : Hacking éthique : le cours complet.

Articles similaires

141 Commentaires
Cliquez ici pour ajouter un commentaire

  • bonjour? je vois qu’on peut accéder a un compte « hotmail » mais celui que je veux c’est celait de « l’aposte.net » est ce la meme procédure? par contre je n’ai pas l’adresse de secours sin je veux changer le mot de passe. comment dois je procéder. merci d’avance

    Répondre
  • bonjour , j’aimerai savoir comment je peut faire pour récupérer le mot de passe qui et sur mon ordinateur on ma dit qu’il existai des logiciels mais cela ne fonctionne pas

    Répondre
  • bonjour je recois pas mal de junk mail , je viens de recevoir un mail , je ne connait pas l expediteur , bein etrange ladresse [email protected] ([email protected]) commetn savoir si c est un spam
    comment me debarasser de totu sa ou de verifier si c esst un mail fraude;merci

    Répondre
    • Bonjour c’est une adresse provenant d’un serveur dont le proprietaire n’a pas fait de configuration correcte ou ne dispose pas de nom de domaine. Vous pouvez bloquer l’expediteur et signaler le probleme a OVH

      Répondre
  • Bonjour,

    j’aimerai savoir si vous pouvez m’aider a recupérer mon adresse « [email protected] » j’ai vraiment besoin de votre aide, j’ai deja fait toute les demarches aupres d’hotmail mais impossible d’y acceder.

    Voici l’adresse i.p 85.68.218.52 qui servai à l’utilisation de cette adresse.

    J’espere vraiment que vous pourrez m’aider. Contacter moi sur mon adresse d’envoi svp.

    Merci, à bientôt

    Répondre
  • SVP MR je veux savoir est ce que c’est possible que quelqu’un peut pirater un compte hotmail , sachant qu’il n’a aucune information sur ce compte et MERCII

    Répondre
  • Bonjour,

    je suis actuellement embêté avec un lien qui apparaît lors d’une recherche Google. Pas moyen de faire enlever les données. Je ne vais pas m’étendre sur la nature du contenu, mais en dépit de cause et malgré des demandes à Google, je ne parviens pas à localiser le site de départ ni l’hébergeur, pas même que le modérateur. J’aurais grandement besoin d’un coup de main.
    Si vous pouviez me donner un coup de main, cela ne serait pas de refus.

    Merci bien

    Répondre
  • Bonjour, Outlook est le successeur de Hotmail, la démarche est donc la même

    Répondre
    • Merci pour votre réponse. La faille étant corrigée, comment faire actuellement pour récupérer un mot de passe ou « craquer » son compte outlook ?

      Répondre
  • Bonjour, même quesiton que Norton, il me semble que la faille est corrigé. J’aimerais savoir sil il y a toujours une chance de récupérer un mot de passe ?
    Merci d’avance.

    Répondre
  • Dans le code source une valeur de type hidden s’y trouvait ou l’adresse apparaissait en clair, sans les étoiles.
    comment faire ? une méthode SVP

    Répondre
  • Bonjour,

    J’ai lu votre article pour nous aider à récupérer notre adresse mail. J’ai tenté de le faire avec les deux liens que vous nous avez fournis dans l’article. Mais le problème c’est que je ne me souviens plus de « ma réponse secrète » et encore quand un mes amis m’a envoyé un mail pour essayer, sa réponse fût : « message envoyé mais pas de confirmation de réception ».
    J’aimerai avoir votre aide pour pouvoir récupérer ma première adresse mail. En espérant avoir une réponse de votre part prochainement.

    Cordialement

    Répondre
  • j’ai des connexions sur ma boite mail avec une ip dont l’utilisateur est coucou-net.fr. quelqu’un peut-il me dire à qui ou à quoi correspond cette ip ou ce nom.
    merci par avance de vos réponses et de votre aide

    Répondre
    • Bonjour je n’ai plus accès à une boîte mail à moi depuis 7 ans elle est associée à mon compte Facebook que je voudrait supprimer je ne me souviens pas du tout su mots de passe

      Répondre
  • bonjour . je veux recuperer mon compte outlook si c’est possible .

    Répondre
  • etchegaray eliane
    19 février 2016 15 h 50 min

    Depuis qq temps je reçois des mails sur mon adresse hotmail.fr qui me demandent pour des raisons de sécurité de confirmer mon compte ou des avertissements avant la fermeture de mon compte.Connaissant toutes les arnaques je ne pense pas qu’ils viennent d’outlook donc je ne donne pas suite à ces mails mais je voudrai savoir si vous;vous pouviez faire cesser ces envois incessants de mail ;je vous donne qq adresses de ces mails :membre service([email protected])ou servicecourrier([email protected])

    Répondre
  • Bonjour etchegaray eliane,

    En réponse à votre question:  » …je voudrai savoir si vous;vous pouviez faire cesser ces envois incessants de mail .. »

    Imaginez un ou des inconnus qui vous envoient par avalanche des courriers postaux dans votre boite aux lettre chez vous. Si vous vous rendez à La Poste et que vous leur demandiez d’arrêter de recevoir ces courriers postaux, La Poste vous répondra que ce n’est pas possible.

    En revanche, vous pouvez demander à votre concierge de filtrer et jeter ces courriers postaux publicitaires etc. Le rôle du « concierge » dans votre messagerie électronique incombe à la fonctionnalité « antispam » (onglet « Courriers indésirables ») de votre Web Mail ou de votre logiciel de messagerie électronique. C’est donc à vous de filtrer et d’indiquer à votre boite aux lettre électronique quels sont les emails à « jeter » pour qu’ils n’apparaissent plus dans votre boite de réception.

    Une des meilleures manières de se protéger dans l’absolu est de changer régulièrement le mot de passe de son compte de messagerie électronique (1 fois par mois idéalement ou 1 fois par trimestre) et d’associer son numéro de mobile à son compte de messagerie pour le sécuriser en cas de « piratage ». Vous trouverez sur leblogduhacker.fr toutes les explications utiles et les tutoriels abordant ce sujet.

    Répondre
  • Salut,
    Mon mot de passe vient d’être changer ainsi que toutes les informations de sécurité. Est-il possible de le récupérer ?

    Répondre
  • Françoise Pilliod
    4 janvier 2017 16 h 53 min

    Bonjour,
    Une personne utilise mon compte hotmail pour passer des commandes, des annonces à mon nom, des inscriptions sur blog et elle l’utilise même pour m’écrire des insultes. Pourtant j’ai toujours fait très attention et actuellement j’ai l’authenticator, cela n’empêche elle continue. Elle fait de même avec mon adresse yahoo. Avez vous une solution ?

    Répondre
    • Bonjour,
      Je pense (et suis presque certain) que cette personne est entrée dans votre ordinateur ou dans un de vos autres équipements informatiques, notamment si elle se reconnecte régulièrement à votre compte malgré vos actions. Je vous propose donc de vous occuper de la sécurité de vos équipements avant tout, puis de changer vos mots de passe. Des pistes : protéger son pc Protéger son ordinateur et sa vie privée

      Répondre
    • Si tu es sûr de l’identité de la personne et que tu reçois menaces ou insultes voici un lien vers le site qui peut t’aider:

      https://www.internet-signalement.gouv.fr/PortailWeb/planets/Accueil!input.action

      Il ne faut pas hésiter si tu es sûr de toi car cela commence par des insultes et puis et puis, petit à petit, cela peut te pourrir la vie.
      Déjà, installe un bon anti-spyware pour voir si tu n’as pas un logiciel espion sur ton pc.
      Mais ne baisse pas les bras et ne te laisse pas faire.

      Répondre
    • Certaines personnes s’installent dans votre vie comme un ver dans le fruit et vous la pourrissent. Rien n’est plus facile pour un acker que d’avoir accès à toutes les données lorsqu’il s’est installé dans vos appareils comme ce ver. Il faut aussi penser à une personne proche tout simplement.

      Répondre
    • Si elle passe des commandes il doit bien y avoir une adresse de livraison a moins que vous receviez vous-même les articles. Je ne comprends pas les motivations de cette personne…

      Répondre
    • Je pense que cette personne en connais beaucoup sur vous. Elle doit avoir accès d’une façon ou d’une autre à vos équipements ou à vos mots de passe. Changez-les régulièrement.

      Répondre
    • Pose toi la question : comment fait-elle pour avoir mes mots de passe ? Ou il y a un spyware installé sur ton ordi ou ton téléphone, ou c’est une personne qui se connecte physiquement à tes appareils. Un anti spyware éliminera la première solution et si cela continue pose toi des question sur ceux qui ont accès aux appareils. Pourquoi quelqu’un chercherait-il à te nuire à ce point ?

      Répondre
    • Je précise qu’elle est très intelligente, elle continue toujours et me traite de looseuse pour se moquer de moi. J’ai vraiment l’impression que pour elle c’est un jeu et qu’elle se paie ma tête 🙁
      .

      Répondre
    • Porte plainte, il doit bien y avoir des traces, non ? Elle sont livrées où ces commandes, elle les paye avec ta carte ?
      Si tu n’arrives pas à la coincer c’est qu’elle est très maline alors et très douée cette personne alors soit méfiante car elle doit en savoir beaucoup sur toi. Courage

      Répondre
  • Moi pareil avec tous mes comptes. je suis désespérée

    Répondre
  • Bonsoir Michel,
    J’ai Keyscrambler pour je penses pallier au problème de keyloger, est-ce efficace ?
    Marc

    Répondre
    • Bonjour Marc, oui et non ! Oui car c’est son but et que ça fonctionne plutôt bien. Non car les keyloggers savent eux-aussi s’adapter… Et par exemple filmer l’écran à la place ou bloquer Keyscrambler, tout simplement (?)

      Répondre
  • Trop bien

    Répondre
  • Bonjour J’ai besoin d’aide Cela fait maintenant environ 7 ans que je suis inscrite sur twitter, mais voilà on m’à demandé mon adresse email j’ai essayé de récupérer mon compt twitter malheureusement L’adresse email et le mot de passe et le numéro de téléphone n’existe pas avec lequel je me suis inscrite. alors voilà
    je suis arrivé sur ce site car je cherche activement depuis plusieurs semaines comment me pirater moi même ouais ça fait con dit comme ça.
    Voilà l’histoire: je voulais essayer de récupérer mes comptes. twitter, Maintenant j’attend vos idées lumineuses svp merciiii

    Répondre
  • je rencontre un problème actuellement, je dois absolument récupérer l’accès à mon adresse mail ; @hotmail.fr ! Cependant, j’avais un numéro de téléphone associé à ce compte il se trouve que je n’ai plus ce numéro et je me rappelle plus de la réponse que j’avais mise à l’époque en sécurité du coup, je me retrouve dans l’incapacité de me connecter !! Comment je peux faire pour récupérer mon adresse mail?? D’avance merci !!

    Répondre
  • Bonjour, je me suis rendu sur un site web il y a quelques jours et aujourd’hui, pour la deuxieme fois, je retrouve des brouillons dans ma boite mail de ce site. Pourtant je n’est donné à aucun moment mon adresse email. J’ai simplement surfé sur leur site web, comment est-ce possible ?

    Répondre
  • bonjour, mon compte hotmail a été bloqué et la procédure de récupération ne fonctionne pas. J’ai des messages très importants à récupérer, c’est désespérant. Est-ce que vous pouvez m’aider. Merci

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous devez remplir ce champ
Vous devez remplir ce champ
Veuillez saisir une adresse e-mail valide.

Menu