Comment un pirate pouvait hacker un compte Hotmail/outlook, et comment se protéger

  1. Accueil
  2. Hacking Éthique
  3. Failles Humaines
  4. Comment un pirate pouvait hacker un compte Hotmail/outlook, et comment se protéger

Article mis à jour.

Cet article a pour but de mieux comprendre comment un pirate pouvait (ou pourrait dans le futur) pirater votre compte Hotmail/Outlook/Live, afin de vous en prémunir concrètement. Nous parlerons également d’une faille à présent corrigée qui montre bien qu’une erreur d’implémentation avait des conséquences désastreuses. Ce qui nous permettra de tirer des conclusions sur les étapes à mettre en place pour la sécurité de nos comptes.

Je rappelle que ce site n’a pas pour vocation d’aider à pirater mais à comprendre les attaques pour se défendre. Aucune technique de piratage fonctionnelle ne sera expliquée.

Comment un pirate pouvait-il si facilement hacker un compte Hotmail ou Outlook ?

Le problème de fond en sécurité informatique est toujours le même : c’est l’être humain.

Hotmail (désormais Outlook) a bien amélioré la sécurité de son site/système en rajoutant notamment des alertes de connexion et l’authentification à double facteur (2FA). Mais le problème était double et se situait au niveau des adresses de « secours ». Il s’agissait d’adresses e-mail à fournir obligatoirement à la création d’un compte.

Nous avions d’un côté des internautes peu soucieux de la sécurité de leur compte qui remplissait n’importe quoi dans le champ de l’adresse de secours. Et de l’autre côté les développeurs Microsoft qui affichaient l’adresse de secours d’un compte donné à tout le monde.

Vous devinez ce qui se passait si un individu malveillant passait par là et que l’adresse de secours n’existait pas… il pouvait la créer tout simplement… avec les conséquences qui s’en suivaient.

Méthodes de prévention

Il suffisait d’une démarche très simple, presque naturelle pour voler un compte. Sachant le nombre d’utilisateurs (et le budget), c’était ainsi une véritable aberration de la part de Microsoft qui retombe bel et bien sur la faute humaine.

Vous savez maintenant qu’il faut faire (très) attention à l’adresse de secours d’un compte, elle est aussi importante que l’adresse principale. Sachez également que le fait de ne pas se connecter pendant longtemps rendait votre compte réutilisable par n’importe qui d’autre (encore une aberration)…

De manière générale : toutes les informations de sécurité autour de votre compte doivent être prises au sérieux, et mises à jour dès maintenant s’il le faut. Je dirais même qu’au delà des bonnes pratiques, il convient de sélectionner un hébergeur mail soucieux de la sécurité de ses utilisateurs.

Comment ne plus se faire pirater à l’avenir

Ne donnez jamais VOS propres identifiants (adresses e-mail et mot de passe) à certains sites web ou programmes. Si vous recherchiez activement comment hacker un compte hotmail avant de venir ici vous êtes sûrement tombé sur des « sites spécialisés » et autres « donne moi tes identifiants, je te le fais en 2 secondes ». Ce n’est pas vrai, soyez méfiants ! Vous pouvez voir un exemple dans l’article Comment un pirate risque de pirater votre Compte Facebook dans lequel je teste moi-même les sites qui vous proposent de pirater « en un clic » (ou en plusieurs, d’ailleurs) pour vous montrer qu’ils sont faux, preuves à l’appui.

Faites attention aux keyloggers, qui récupèrent purement et directement vos mots de passe

Vous vous dites que outlook.com est en https, que vous utilisez un proxy ou vpn et que personne ne pourra donc vous voler votre mot de passe.

FAUX.

Les keyloggers récupèrent ce que vous tapez sur votre clavier, peu importe la fenêtre active, peu importe le chiffrement de la connexion.

Faites attention au Phishing, qui vous fait croire que vous vous adressez à un site officiel

Avec les keyloggers, le phishing est l’une des attaques les plus populaires pour pirater un compte quel qu’il soit. C’est simple, on vous fait croire que vos informations ne sont pas à jour (ou tout autre technique dans ce genre) pour vous envoyer sur un faux site qui récupère votre mot de passe. Le phishing logiciel existe aussi, typiquement avec des programmes qui vous demandent de vous connecter pour effectuer une action alors qu’ils récupèrent votre mot de passe.

Faites attention à avoir une adresse de secours valide, et non pas inutilisée ou inexistante

Outlook/Hotmail oblige de choisir au moins deux éléments d’identification, mais pour beaucoup d’utilisateurs, ces informations sont inutiles, d’où le problème !

C’est exactement comme envoyer son mot de passe à quelqu’un au hasard. Il est également possible pour n’importe qui de créer cette adresse, qui n’existait pas forcément avant.

Faites attention à choisir une réponse compliquée à la question de sécurité

Dans la même lignée, les utilisateurs pensent ne jamais avoir besoin d’utiliser une réponse secrète, ils la donnent donc au hasard (et ne s’en souviennent plus lorsque leur compte est piraté) ou répondent normalement à la question, ce qui semble être une bonne chose. Mais ça ne l’est pas du tout, car si l’on connaît le « nom de votre premier animal » ou votre « lieu d’étude »…. tout est perdu !

Faites attention à ne pas montrer le contenu de votre boite de réception et de vos informations de compte

Consulter ses mails au boulot ou à l’école semble anodin. Mais si une personne mal-intentionnée prend note de ce qu’elle voit, elle peut pirater un compte quel qu’il soit. Car en utilisant un formulaire de récupération de compte, n’importe qui peut se faire passer pour vous en connaissant beaucoup d’informations sur votre compte, et donc réinitialiser votre compte.

Sécurisez bien vos comptes en amont

Une fois que vous êtes piraté(e) c’est bien souvent trop tard. Pensez à l’authentification en deux étapes, au mot de passe ou numéro de téléphone de secours et le plus important : Soyez méfiant(e) et sensibilisé(e).

Voir ici pour bien débuter en hacking éthique et voir l’article suivant pour récupérer un compte piraté.

Dans cette volonté de sécuriser les systèmes et afin de vous apprendre les concepts fondamentaux du hacking éthique, sachez qu’un guide complet est également disponible ici : Les Bases de la Sécurité informatique (apprendre les concepts de la sécurité informatique)

Vous pouvez également vous orienter vers le guide Comment protéger son ordinateur et sa vie privée.

140 Commentaires
Cliquez ici pour ajouter un commentaire

  • J’avoue que sur hotmail c’est pas le mieux pour être sécurisé…

    Répondre
  • ouiiiii

    Répondre
    • Besoin d’aide également! That’s possible???

      Répondre
    • Salut à tous! J’aimerai bien si quelques uns d’entre vous sont dispos (et gentils, lol): être initié (étant novice, mais passionné) un peu plus sur cette « magic box » d’ordi, genre pr commencer (comme en mécanique finalement, lol) = manip + compréhension claire et ptêtr, comme vous, en même temps, aller titiller 2/3 « ex » là ou ça fait de l’effet (intime, lol = boîte à « blabla », hotmail, fb, etc, lol) Allez au plaisir d’en apprendre davantage grâce à vous, merki d’avance.

      Répondre
  • Je vois des champs hidden qui contiennent la value de l’email de secours (qui n’est pas le mien et j’aimerais savoir qui m’a hacké) ou du tel rajouté (qui n’est pas le mien non plus)… L’encodage ne me dit rien. Ce n’est pas du base64, ni un hash en md5/sha1 … Je m’acharne dessus car je veux récupérer mon compte…

    Répondre
  • Salut, je sais, je l’ai écrit dans l’article, et non je ne peux pas t’aider 😉

    Répondre
  • Salut Jetpiro,
    as-tu essayé de contacter directement Sony ou le service prévu pour ?
    Je ne connais pas grand chose sur les comptes ps3 mais je suppose que si tu as des preuves de piratage et des informations sur ce pirate, ils sauront te faire récupérer ton compte 🙂
    Je ne pense pas que tu aies besoin de pirater quoi que ce soit si déjà tu es la victime d’un piratage

    Répondre
  • slt michel j’arrive toujours pas à recupérer mon comte malgré les con seil de microsoft et j’ai vrément besoin de le récupérer. est ce que tu peux m’aider?

    Répondre
    • Salut nabou,
      Oui bien-sûr, si il s’agit de ton compte tu as tout à fait le droit de demander à la récupérer.
      As-tu regardé mon article https://www.leblogduhacker.fr/recuperer-un-compte-pirate/ ?
      Sinon il faudra que tu me donnes plus de détails afin que je puisse mieux t’aider 😉

      Répondre
      • J’ai essayé de réinitialiser mon mot de passe et remplis le formulaire de Microsoft en vain. ils m’ont demander d’ouvrir un autre compte alors que j’ai des info tres important sur ce compte.
        aide moi, je veux juste si c’est possible importer des mail reçus. Merci

        Répondre
        • As-tu donné toutes les infos possible sur ton compte dans ce formulaire ? L’ancien mot de passe, les dossiers éventuellement crées, l’IP de connexion éventuelle, les sujet des messages, les contacts etc… ?
          Je te conseille de réessayer en donnant un maximum d’informations, sinon il n’y a malheureusement plus grand chose à faire, tu avais quand même 3 chances : l’adresse de secours, la question secrète et le formulaire 🙂

          Répondre
          • Salut Michel,

            Je vous contacte car cela fait 3 ans que je suis avec mon mari.

            Je suis désemparée car je soupçonne qu’il me trompe. Je sais que c’est très banal, mais j’espère quand même compter sur vous…

            J’aurais voulu avoir accès à son hotmail pour vérifier.

            Je sais, certains diront que c’est mal, mais honnêtement des fois c’est nécessaire.

            J’ai bien lu toutes les informations sur le blog mais rien ne marche, et quand je vais sur yahoo, qui est l’adresse de secours, il me demande l’autre adresse pour envoyer un mail…je n’ai donc aucune idée de comment y parvenir.

            Je ne sais pas où demander de l’aide et je suis vraiment désemparée.

            Je vous remercie d’avance pour votre aide qui me sera préciseuse.

            Cordialement,

            Elodie

          • Bonjour Elodie,
            Je sais que des fois ça paraît « nécessaire » et « légitime », comme je dis toujours j’ai aussi connu cette situation de doute, j’aime beaucoup rendre service mais je ne peux tout de même pas aller à l’encontre des lois, désolé

          • Merci Michel pour votre réponse.
            Je comprends très bien.
            N’hésitez pas à m’envoyer un mail sur mon adresse privée si vous avez une idée de vers qui je pourrais me tourner. Merci

  • Bonjour Michel, j’aurais besoin de ton aide car il y a quelques années, j’avais inventé une adresse e-mail avec plus de 18 ans pour pouvoir utiliser le multijoueur sur la PS3. Maintenant que j’en ai 19, j’aimerai bien changer l’adresse sur la PS3, mais il me faut le code de l’adresse e-mail que je ne retrouve plus. Peux-tu m’aider ? Merci 🙂

    Répondre
    • Salut Nicolas,
      Est-ce que ton adresse existe encore ? Si tu ne t’es pas connecté depuis 1 an, elle disparait automatiquement, il te reste à recréer exactement la même 🙂
      Sinon sans réponse à la question secrète ou sans adresse de secours ça sera difficile !

      Répondre
      • En tout cas, j’arrive encore à me connecter avec la PS3 avec cette adresse mais je n’ai plus le code. Je n’ai plus la réponse et ni l’adresse de secours :/

        Répondre
        • Oui avec la Ps3, mais si ton compte hotmail date d’il y a longtemps il n’existe peut-être plus, essaie de le créer, si il est marqué « adresse déjà existante » il te reste à attendre encore quelques semaines/mois et de réessayer, en espérant que personne n’ait pris cette même adresse entre temps

          Répondre
          • Ca fait depuis plus d’un an que je ne me suis plus connecté avec et en voulant la recréer, il est inscrit que l’adresse est déjà prise :/ Que dois-je faire ?

          • À partir de là il n’y a vraiment plus rien à faire à part attendre ou deviner le mot de passe 😉

  • bonjour !!
    j’ai une question a poser je c pas si je suis sur le bon post ¿
    y-a t-il moyen de retrouver des mot de pass sur le disque dur entrer chaque jours.
    il y-a la façon google >> outil > option> sécurité > mot de pass enregistré . (mais je les es sécuriser ( on ne les vois pas)
    mais s’ils ne sont pas enregistrer ici !!
    peux ton les retrouver sur le pc ??? disque dur ??? y-a t-l une manip pour les retrouver ???
    j ‘espère avoir étais clair ?
    cordialement ….

    Répondre
    • Salut Stéphane,
      C’est une bonne question, si je t’ai bien compris tu cherches ou (donc dans quels fichiers) se trouvent les mots de passes enregistrés via le navigateur ?
      Cela dépend du navigateur, il était possible de décrypter les fichiers contenant les mots de passe de Firefox, mais ce problème a été résolu après les mises à jour.
      Tu pourras éventuellement les récupérer mais pas les décrypter 🙂 Et heureusement

      Répondre
  • On peut m’aider aussi ?

    Répondre
  • Michel j’ai vraiment besoin de ton aide stp , je viens tout juste d’acheter un compte usagé dans un jeu et je veut changer le mot de passe du compte mais je dois avoir acces a ladresse email. Pourrais tu maider a le « hacker » ca serais apprécié

    Répondre
    • je tien a dire que je connais son email

      Répondre
      • Salut Xavier,
        pourquoi ne demandes-tu pas à la personne qui t’a vendue le compte de te fournir ces informations ?

        Répondre
        • Parce que la personne meme dit quelle ne connais pas les informations , alors cette personne pourrait récupérer le compte a tout moment

          Répondre
          • Michel tu devrais changer le nom de ton site mettre style aide informatique car cela porte a confusion le site du hacker bah les gens viens demander pour hacker sur ceux bonne soirée ……….

          • Hacker = bidouiller, le hacking est souvent utilisé dans le domaine de la sécurité informatique. Il y a deux façon de voir le hacking et les gens ne voient pas tous celle que je présente 😉

  • Comment discuter en privé?

    Répondre
  • Bonjour Michel, j ai été piratée sur mon compte hotmail que j ai depuis mes15 ans. Cela fait des mois que j essai de récupérer mon compte mis sans succès. J avais des photos de mon fils a la naissance ainsi que des photos de famille qu’en ai perdu. J ai envoye un mail a Microsoft mais tous mes id ont été modifiés même ma question secrète et l adresse mal de secours je ne m en souviens pas puis que j ai aujourd’hui hui 28 ans. Y a t il un moyenderecuperer mon compte ou ais je perdu tous les mains et photos pour toujours? Merci d avance pour votre aide…

    Répondre
  • dite moi comment accéder a la version mobile ??

    Répondre
  • bonjour
    j’ai besoin d’aide – j’ai besoin de savoir a qui appartient une adresse hotmail – seriez vous capable de le faire pour moi je ne suis pas tres a l’aise en informatique
    c’est important pour moi –

    Répondre
  • salut michel , je n’arrive pas a trouver l’adresse de secoure sur le code source . je fait quoi ?

    Répondre
  • Bonsoir Michel,

    ce n’est vraiment plus possible du tout de dévoiler une adresse de messagerie de secours masquée par des étoiles sur msn?

    merci pour votre réponse

    Répondre
  • Répondre
  • Merci pour l’article

    Répondre
  • salut Michel c’est pas possible de trouver l’adresse de secours , mais est ce qu’il est possible de trouver toutes les adresses mails commençant par ra****@yahoo.com , car c’est ma seule solution pour récupérer mon compte hotmail piraté

    Répondre
    • Salut, à part deviner toutes les adresses possibles tu ne pourras malheureusement pas trouver cette adresse. Le formulaire de récupération de compte piraté n’a pas fonctionné ?

      Répondre
      • merci pour la réponse , malheureusement le formulaire de récupération de compte n’as pas fonctionné , je voulais juste savoir s y il a un annuaire des mails ( comme l’annuaire téléphonique ) c’est ma seule chance pour récupérer mon compte piraté.

        Répondre
        • Salut, habituellement le formulaire de récupération est la dernière chance de récupérer un compte. Microsoft vérifiera l’IP et l’ordinateur (navigateur) afin de les comparer avec celui du compte perdu. Il n’y a pas d’annuaire de mails comme l’annuaire téléphonique. Je te propose de réessayer le formulaire en donnant un maximum d’informations : contacts, contenu des messages, coordonnées utilisées, dernière période de connexion, dernier lieu de connexion, etc…

          Répondre
          • salut j’ai fais ce que tu as dit je vois donc bien la valeur de type hidden mais a aucun moment je vois cette adresse peux tu m’aider stp ?

      • salut , malheureusement non , est ce qu il y a une possibilité de récupérer mon compte hotmail a partir de mon ip ? n b : tjr la même adresse ip + le meme ordinateur ?

        Répondre
  • Bonjour j ai besoin d aide quelqun pourrait m aider svp svp c urgent

    Répondre
  • Coucou stp jaurais vrm besoin d’aide pour recuperer mon email !!!

    Répondre
  • Salut peut-tu m’aider mais je sais mon adresse hotmail outlook et probléme j’ai perdu ma memoire le code pour le compte et ne marche pas l’autre l’envoie à mon adresse rien changer lui aussi j’ai perdu svp m’aider >.<' JE SUIS NUL FAIRE QUOI comment faire?

    Répondre
  • salut jai aussi besoin daide on vient de me piraté et je devient fou merci de maidé

    Répondre
  • Bonjour,
    Pour ma part, je connais mon adresse de récupération. Le pb est que j’ai tellement créé de comptes mail que je ne me souviens plus des mots de passe. Comment puis je faire pour accéder à au moins un de mes comptes?
    Merci d’avance

    Répondre
  • Bonsoir , et comment fait-on si l’adresse de secours est connue mais que l’on sait qu’elle est valide et toujours utilisée ? Merci !

    Répondre
  • Bonjour Christophe,
    Il existe bien sûr d’autres moyens de hacking, je n’ai pas parlé de phishing (plus d’infos https://www.leblogduhacker.fr/phishing-facebook-explications-contre-mesures/ ) ni même du simple fait de regarder par dessus l’épaule de quelqu’un en train de taper son mot de passe.
    J’éditerai régulièrement l’article

    Répondre
    • Désolé pour cette réponse tardive je n’avais pas fait attention… Oui je connais le phishing aussi j’avais zapé dans mon commentaire, on a aussi les faux mails etc… Mais ce n’est pas non plus cela qu’il a utilisé, puisqu’il l’a récupéré d’un pirate, enfin ça serait le comble.
      Même si on a l’air d’accord sur un principe : savoir pirater pour mieux se défendre, je ne vais pas t’obliger à tout divulguer ici. 😉 Je chercherai par moi même. Merci pour tes réponses en tout cas 🙂

      Répondre
  • Bonjour je n’offre simplement pas d’aide pour réaliser des actions illégales

    Répondre
  • j’ai trouvé the hidden word mais quad je suis allée pour m’iscrire on m’a dit que cette boite mail existait deja … qu est ce que je fait?

    Répondre
  • Coucou,j’ai un petit soucis.

    J’utilise Mozilla Firefox comme navigateur par défaut et les étoiles ne disparaissent pas pour trouver l’adresse mail.De l’aide pls?

    Répondre
  • Bonjour, voilà je viens vers vous car je viens de me faire hacker mon compte FB, la personne a tout changer sur mon compte, mail, numéro, question, mes contacts de récup, j’ai réussi a choper son mail car j’étais connecter a mon tel, que voici  » [email protected] » mon compte FB qui est bloquer https://www.facebook.com/logan.pezé

    C’est les hacker qui envoie la blinde de message a tout nos contacts pour essayer de taxer de l’argent, j’ai vraiment besoin de mon compte, comment je peut récupérer ? impossible d’appeler FB en plus c’est vraiment la merde trop facile a hacker et impossible et récupérer ensuite 🙁

    Répondre
    • Salut Logan, la page Facebook en question est inexistante de mon côté, je pense malheureusement qu’il n’y a que Facebook pour t’aider…La police n’intervient effectivement pas pour ce genre de situation et c’est accablant.

      Répondre
      • Il me reste la méthode des « contacts de confiance », j’ai réçu un mail avec 5 personnes de confiance avant qu’il change mon passe mais hier j’avais marquer 3 fois une personne sans savoir qu’elle était assigner par FB, je doit attendre je ne peut plus le faire pour l’instant, c’est combien 24h de délai ? d’autre méthode pour récup mon compte, moi j’en voie que une seule si sa ne va pas avec sa c’est de hacker sont compte hotmail pour avoir mon mdp, mais plus facile a dire surtout que je me suis jamais pencher sur le hacking en question 🙁

        Répondre
        • Oui je pense qu’il te faut attendre entre 24 et 48h, oui plus facile à dire qu’à faire 😉

          Répondre
          • Oui je récupère le compte demain midi normalement 🙂 un amis c’est fait hacker aussi 🙁 sont compte FB et sont compte mail en même temps et le mail de secourt a était changer aussi et le sien impossible de le récup 🙁 une idée ?

          • N’hésite pas à me tenir au courant si tu récupères ton compte (ça pourra servir à d’autres personnes 😉 ). Peut-être qu’il a l’option des amis de confiance ? Peut-être aussi qu’il peut récupérer son mail avant de récupérer le compte FB ?

          • Non j’ai même était chez lui pour être sur niveau IP, il n’a pas les contacts de confiance, on essaye de récup le compte en mettant des infos concernant l’intérieure de la boite mail mais rien microsoft refuse 🙁

  • Salut Logan ,
    Des nouvelles de ton côtes , il m’est arriver la même choses fin 2011 , j’ai réussi à récupère mon Facebook , mais pas mon email hotmail impossible , tu aurais des solutions à proposer ?
    Merci
    James

    Répondre
  • Bonjour à tous ! Je suis passionné de technologie, mais en connais très peu, j’ai le désir d’apprendre cette magie. Sinon, comment peut on accéder au code source sans « Ctrl, Shift + u »? Ce qui peut servir à différentes application, donc? S’il vous plaît. Merci pour votre réponse positive.

    Répondre
  • Comment t’as fait ([email protected])?

    Répondre
  • bonjour michel, je veux aussi récupéré mon compte hotmail que j´ai pérdu il y a 2 mois, pour l´adresse de secours j´en me rappel plus, et aussi c´était une adresse que j´ai fait par défaut, et je veux savoir aprés la touche ctrl+U comment trouver les lettres caché de cette adresse de secours,
    Merci d´avance
    nous t´aimons

    Répondre
  • Bonjour, j’ai besoin de votre aide pour récupérer un ancien compte hotmail, mais je ne me rappelle pas du mot de passe ni du 2éme compte de sécurité.
    j’ai fais les étape pour essayer de ‘hack’ mon compte mais quand je fais ctrl + u je ne trouve pas l’adresse de sécurité
    Ou alors il y a un autre moyen de le récupérer?

    Cordialement

    Répondre
  • Bonjour, j’aimerai savoir si c’est toujours possible que tu pirates un compte hotmail? Merci.

    Répondre
  • Bonjour
    Je me suis fait piraté mon compte facebook j’ai retrouvé l’adresse mail de la personne qui s’est approprié mon compte mais elle apparait de la manière suivante:
    v**********[email protected]*******.com
    Y-a-t-il un moyen de savoir qui c’est ?
    PS: Je veux juste qu’il supprime mon compte facebook!

    merci d’avance

    Répondre
  • bonjour
    on m’a piratée mon compte Hotmail
    j’ai des personnes du bresil Uruguay…
    pourquoi ils font ça
    est ce dangereux pour mon identité? ( créations de faux papiers….)
    est ce qu’il faut porter plainte?
    j’ai réinitialiser mon compte changer mon mot de passe et je vois dans mes activités récentes qu’on essaie encore de le pirater.
    Peux tu me conseiller sur ce que je dois faire?
    merci d’avance

    Répondre
  • Bonjour Michel j’aimerais savoir comment intégrer le site darknet actuellement

    Répondre
  • bsr j voudrais avoir le mot de passe de mon cmpte fcb prck jai oublier qui estce qui pourrait m’aider y a t il un moyen pour que je recupere mn mot de passe

    Répondre

Laisser un commentaire

Menu