Accueil » Sécurité Informatique » Comment un pirate pouvait hacker un compte Hotmail/outlook, et comment se protéger

Article mis à jour.

Cet article a pour but de mieux comprendre comment un pirate peut hacker notre compte Hotmail/Outlook/Live, afin de s’en prémunir correctement. Nous parlerons également d’une faille à présent corrigée qui montre bien qu’une erreur d’implémentation peut avoir des conséquences désastreuses et qui nous permettra de tirer des conclusions sur la sécurité de nos comptes.

Je rappelle que ce site n’a pas pour vocation d’aider à pirater mais à comprendre les attaques pour se défendre.

 

Comment un pirate pouvait-il si facilement hacker un compte Hotmail ou Outlook ?

Exemple avec l’utilisation d’une faille dans Hotmail :

Cette faille est maintenant corrigée. Nous allons la décortiquer pour mieux comprendre ce qui a pu se passer si vous avez été piraté. Cela peut également être à l’origine d’un piratage de votre compte dans le passé, dans les conséquences peuvent retomber dans le futur !

Voici les démarches qui étaient employées :

  • Connaître l’adresse e-mail de la personne.
  • Accéder à la page de réinitialisation de mot de passe sur la version mobile du site (qui présentait à ce moment le souci de sécurité).

hacker un compte hotmail

  • Entrer l’adresse de la cible ainsi que le captcha de sécurité.
  • Une page s’affichait en demandant d’entrer la question secrète ou d’envoyer les instructions de restauration à l’adresse de secours. Cette adresse de secours s’affiche suivant le modèle suivant : ou******@hotmail.fr.
  • Il fallait donc commencer par trouver cette adresse en partie masquée. Et la faille se situait à ce niveau, en effet il suffisait d’afficher le code source de la page (CTRL + U sous la plupart des navigateurs). Et dans le code source une valeur de type hidden s’y trouvait ou l’adresse apparaissait en clair, sans les étoiles.

pirater compte hotmail

  • Cette étape demandait pas mal de chance, il fallait vérifier si cette adresse de secours était utilisée ou non. Le pirate se rendait donc sur la page d’inscription ICI et s’inscrivait avec cette adresse de secours.
  • Cette adresse est bien souvent notée au pif par les personnes car elle est obligatoire lors de l’inscription. Ainsi, une adresse mise au hasard a de forte chance d’être non utilisée et il suffisait au pirate de s’approprier le compte secondaire.

Une fois que le pirate avait réussi à créer ce compte secondaire, il cliquait sur « Send email » et il recevait toutes les instructions de redéfinition du mot de passe du compte qu’il voulait pirater. Aussi simple que ça, pas de connaissances en programmation requises, pas besoin d’être ingénieur en informatique, pas besoin d’utiliser des outils spécialisés !

Une autre méthode pour hacker un compte Hotmail consistait à attendre que l’adresse date de plusieurs années sans être utilisée. Les comptes Hotmail étaient automatiquement supprimés lorsqu’ils dataient de plusieurs années ! Il était donc possible de hacker n’importe quel compte, il suffisait que le propriétaire original ne se connecte pas pendant un certain temps.

Vous l’aurez compris : pour pirater votre compte Hotmail le pirate n’avait qu’à…attendre

Conclusion sur cette faille et méthodes de prévention

Il suffisait d’un peu de ruse en testant la version mobile et en jetant un œil dans le code source de la page pour trouver cette astuce plus que redoutable.

Vous savez maintenant qu’il faut faire attention à l’adresse de secours d’un compte, elle est aussi importante que l’adresse principale. Sachez également que le fait de ne pas se connecter pendant longtemps rend votre compte réutilisable par n’importe qui d’autre.

Comment ne plus se faire pirater à l’avenir

Ne donnez jamais VOS propres identifiants (adresses e-mail et mot de passe) à certains sites web ou programmes. Si vous recherchiez activement comment hacker un compte hotmail avant de venir ici vous êtes sûrement tombé sur des « sites spécialisés » et autres « donne moi tes identifiants, je te le fais en 2 secondes ». Ce n’est pas vrai, soyez méfiants ! Vous pouvez voir un exemple dans l’article Comment un pirate peut Hacker un Compte Facebook dans lequel je teste moi-même les sites qui vous proposent de pirater « en un clic » (ou en plusieurs, d’ailleurs) pour vous montrer qu’ils sont faux.

À présent, nous allons voir d’autres possibilités de piratage qui ne sont cette fois pas techniques et contre lesquelles vous devez être protégé.

Faites attention aux keyloggers, qui récupèrent purement et directement vos mots de passe

Vous vous dites que outlook.com est en https, que vous utilisez un proxy ou vpn et que personne ne pourra donc vous voler votre mot de passe.

FAUX.

Les keyloggers récupèrent ce que vous tapez sur votre clavier, peu importe la fenêtre active, peu importe le chiffrement de la connexion.

Faites attention au Phishing, qui vous fait croire que vous vous adressez à un site officiel

Avec les keyloggers, le phishing est l’une des attaques les plus populaires pour pirater un compte quel qu’il soit. C’est simple, on vous fait croire que vos informations ne sont pas à jour (ou tout autre technique dans ce genre) pour vous envoyer sur un faux site qui récupère votre mot de passe. Le phishing logiciel existe aussi, typiquement avec des programmes qui vous demandent de vous connecter pour effectuer une action alors qu’ils récupèrent votre mot de passe.

Faites attention à avoir une adresse de secours valide, et non pas inutilisée ou inexistante

Outlook/Hotmail oblige de choisir au moins deux éléments d’identification, mais pour beaucoup d’utilisateurs, ces informations sont inutiles, ils remplissent donc une adresse de secours, au pif !

C’est exactement comme envoyer son mot de passe à quelqu’un au pif. Il est également possible pour n’importe qui de créer cette adresse, qui n’existait pas forcément avant.

Faites attention à choisir une réponse compliquée à la question de sécurité

Dans la même lignée, les utilisateurs pensent ne jamais avoir besoin d’utiliser une réponse secrète, ils la donnent donc au pif (et ne s’en souviennent plus lorsque leur compte est hacké) ou répondent normalement à la question, ce qui semble être une bonne chose. Mais ça ne l’est pas du tout, demander directement à un individu « Quel était ton premier animal ? » suffit à obtenir la réponse recherchée est à hacker un compte !)

Faites attention à ne pas montrer le contenu de votre boite de réception et de vos informations de compte

Consulter ses mails au boulot ou à l’école semble anodin. Mais si une personne mal-intentionnée prend note de ce qu’elle voit, elle peut hacker un compte hotmail (ou autre) quel qu’il soit. Car en utilisant le formulaire de récupération, n’importe qui peut se faire passer pour vous en connaissant beaucoup d’informations sur votre compte, et donc réinitialiser votre compte.

Sécurisez bien vos comptes en amont

Une fois que vous êtes piraté(e) c’est bien souvent trop tard. Pensez à l’authentification en deux étapes, au mot de passe ou numéro de téléphone de secours et le plus important : Soyez méfiant(e) et sensibilisé(e).

Dans cette volonté de sécuriser les systèmes et afin de vous apprendre les concepts fondamentaux du hacking éthique, sachez qu’un guide complet est disponible ici : Les Bases de la Sécurité informatique (apprendre les concepts de la sécurité informatique)

Vous pouvez également vous orienter vers le guide Comment protéger son ordinateur et sa vie privée.

138 Commentaires

  1. bonjour . je veux recuperer mon compte outlook si c’est possible .

  2. etchegaray eliane a écrit:

    Depuis qq temps je reçois des mails sur mon adresse hotmail.fr qui me demandent pour des raisons de sécurité de confirmer mon compte ou des avertissements avant la fermeture de mon compte.Connaissant toutes les arnaques je ne pense pas qu’ils viennent d’outlook donc je ne donne pas suite à ces mails mais je voudrai savoir si vous;vous pouviez faire cesser ces envois incessants de mail ;je vous donne qq adresses de ces mails :membre service([email protected])ou servicecourrier([email protected])

  3. Bonjour etchegaray eliane,

    En réponse à votre question:  » …je voudrai savoir si vous;vous pouviez faire cesser ces envois incessants de mail .. »

    Imaginez un ou des inconnus qui vous envoient par avalanche des courriers postaux dans votre boite aux lettre chez vous. Si vous vous rendez à La Poste et que vous leur demandiez d’arrêter de recevoir ces courriers postaux, La Poste vous répondra que ce n’est pas possible.

    En revanche, vous pouvez demander à votre concierge de filtrer et jeter ces courriers postaux publicitaires etc. Le rôle du « concierge » dans votre messagerie électronique incombe à la fonctionnalité « antispam » (onglet « Courriers indésirables ») de votre Web Mail ou de votre logiciel de messagerie électronique. C’est donc à vous de filtrer et d’indiquer à votre boite aux lettre électronique quels sont les emails à « jeter » pour qu’ils n’apparaissent plus dans votre boite de réception.

    Une des meilleures manières de se protéger dans l’absolu est de changer régulièrement le mot de passe de son compte de messagerie électronique (1 fois par mois idéalement ou 1 fois par trimestre) et d’associer son numéro de mobile à son compte de messagerie pour le sécuriser en cas de « piratage ». Vous trouverez sur leblogduhacker.fr toutes les explications utiles et les tutoriels abordant ce sujet.

  4. Vitalie a écrit:

    Salut,
    Mon mot de passe vient d’être changer ainsi que toutes les informations de sécurité. Est-il possible de le récupérer ?

  5. Françoise Pilliod a écrit:

    Bonjour,
    Une personne utilise mon compte hotmail pour passer des commandes, des annonces à mon nom, des inscriptions sur blog et elle l’utilise même pour m’écrire des insultes. Pourtant j’ai toujours fait très attention et actuellement j’ai l’authenticator, cela n’empêche elle continue. Elle fait de même avec mon adresse yahoo. Avez vous une solution ?

    • Bonjour,
      Je pense (et suis presque certain) que cette personne est entrée dans votre ordinateur ou dans un de vos autres équipements informatiques, notamment si elle se reconnecte régulièrement à votre compte malgré vos actions. Je vous propose donc de vous occuper de la sécurité de vos équipements avant tout, puis de changer vos mots de passe. Des pistes : protéger son pc Protéger son ordinateur et sa vie privée

    • Si tu es sûr de l’identité de la personne et que tu reçois menaces ou insultes voici un lien vers le site qui peut t’aider:

      https://www.internet-signalement.gouv.fr/PortailWeb/planets/Accueil!input.action

      Il ne faut pas hésiter si tu es sûr de toi car cela commence par des insultes et puis et puis, petit à petit, cela peut te pourrir la vie.
      Déjà, installe un bon anti-spyware pour voir si tu n’as pas un logiciel espion sur ton pc.
      Mais ne baisse pas les bras et ne te laisse pas faire.

    • nana soumise a écrit:

      Certaines personnes s’installent dans votre vie comme un ver dans le fruit et vous la pourrissent. Rien n’est plus facile pour un acker que d’avoir accès à toutes les données lorsqu’il s’est installé dans vos appareils comme ce ver. Il faut aussi penser à une personne proche tout simplement.

    • Seraphine a écrit:

      Si elle passe des commandes il doit bien y avoir une adresse de livraison a moins que vous receviez vous-même les articles. Je ne comprends pas les motivations de cette personne…

    • Aurelien a écrit:

      Je pense que cette personne en connais beaucoup sur vous. Elle doit avoir accès d’une façon ou d’une autre à vos équipements ou à vos mots de passe. Changez-les régulièrement.

    • Pose toi la question : comment fait-elle pour avoir mes mots de passe ? Ou il y a un spyware installé sur ton ordi ou ton téléphone, ou c’est une personne qui se connecte physiquement à tes appareils. Un anti spyware éliminera la première solution et si cela continue pose toi des question sur ceux qui ont accès aux appareils. Pourquoi quelqu’un chercherait-il à te nuire à ce point ?

    • Je précise qu’elle est très intelligente, elle continue toujours et me traite de looseuse pour se moquer de moi. J’ai vraiment l’impression que pour elle c’est un jeu et qu’elle se paie ma tête 🙁
      .

    • Cara Melle a écrit:

      Porte plainte, il doit bien y avoir des traces, non ? Elle sont livrées où ces commandes, elle les paye avec ta carte ?
      Si tu n’arrives pas à la coincer c’est qu’elle est très maline alors et très douée cette personne alors soit méfiante car elle doit en savoir beaucoup sur toi. Courage

  6. nana soumise a écrit:

    Moi pareil avec tous mes comptes. je suis désespérée

  7. Marc De Jong a écrit:

    Bonsoir Michel,
    J’ai Keyscrambler pour je penses pallier au problème de keyloger, est-ce efficace ?
    Marc

Laisser un commentaire

Lire plus :
leader de lulzsec arrêté
Le leader du groupe LulzSec arrêté

L'auto-proclamé leader du groupe de Hacking Lulzsec a été arrêté par la police Australienne hier. Connu en ligne sous le...

Fermer