Des milliers de comptes Gmail, Hotmail et Yahoo compromis par une campagne de phishing

SECURITE De nombreux internautes tombent toujours dans le panneau...

Philippe Berry

— 

Un arobase, la star des courriers électroniques
Un arobase, la star des courriers électroniques — DR

Pas de jaloux. Après des attaques contre des milliers de comptes Hotmail (Microsoft) révélées lundi par le site Neowin, Google, Yahoo ou encore AOL ont indiqué mardi que des utilisateurs de leurs messageries électroniques avaient eux aussi été la cible de pirates informatiques. Des milliers de mots de passe ont été publiés sur Internet (désormais retirés). Les géants du web ont tous procédé à une remise à zéro des codes d'accès des comptes concernés.

 
Selon Google, il s'agit d'une «campagne de phishing touchant toute l'industrie» du courrier électronique. Le phishing, ou hameçonnage, consiste à tromper les utilisateurs, par exemple en leur envoyant un email en se faisant passer pour leur banque (ou ici, donc Google/Yahoo/Microsoft) puis les renvoyer sur un site visuellement quasi identique et les inviter à y saisir leur login et leur mot de passe.
 
Les utilisateurs en faute
 
Il ne s'agit pas ici d'une faille de sécurité mais bien d'un problème de comportement des internautes. Malgré les régulières mises en garde, de nombreux utilisateurs tombent encore dans le panneau du phishing. On ne le répétera jamais assez: ne rentrez jamais vos informations personnelles sur un site sur lequel vous avez été redirigé (depuis un email ou un autre site).
 
Du phishing sur des comptes mail, mais pour quoi faire? Selon l'expert en sécurité de Trend Micro Rick Ferguson, du spam –un juteux business– envoyé depuis les comptes compromis, a été détecté. De plus, de nombreux internautes n'utilisent qu'un unique mot de passe pour tous leurs services en ligne, et en dérober un peu suffire à accéder à d'autres informations plus précieuses.
 
Comme si cela ne suffisait pas, une analyse sur les 10.000 mots de passe Hotmail dérobés montre que:
  • près 50% ne contiennent que des lettres, toutes en bas de casse
  • 20% que des chiffres
  • le plus commun étant 123456
  • un bon paquet de prénoms
 
La complexité d'un mot de passe (qu'on peut tester ici) ne change rien si l'utilisateur mord à l'hameçon du phishing. En revanche, elle les rend plus ou moins vulnérables aux attaques en force qui testent toutes les combinaisons possibles.
 
Par exemple: «Ceci3st1mot2pA##e» est plus complexe que «chocolat»
 
Débat: Vous-êtes vous déjà fait avoir par du phishing? Choisissez-vous le nom de votre chien comme mot de passe?