Le hameçonnage (ou phishing en anglais) consiste à récupérer frauduleusement des informations personnelles pour voler votre identité numérique. Je pensais que ça n’arrivait qu’aux cons autres, mais je me suis fait avoir comme un bleu !
La mécanique du phishing
Tout commence avec un message en DM de la part d’une personne que je suis et qui me suit sur Twitter (elle-même victime) :
This made me laugh so hard when i saw this about you lol [suivi d’un lien]
Comme on se moque de moi sans que je sache pourquoi, je mords à l’hameçon et clique sur le lien.
J’arrive sur cette page qui a la couleur et l’odeur du Twitter mais qui est en fait une fausse page. Et là, le fait de consulter le message depuis mon mobile change la donne. L’URL (http://twittejr.com/session_verify/) m’aurait mis la puce à l’oreille si j’avais été sur mon PC mais sur le mini écran de mon téléphone (plus l’heure tardive et le dîner arrosé, je vous passe les détails), mes défenses naturelles sont moins fortes.
Je saisis alors les codes d’accès et rien ne se passe, donc je laisse tomber et m’endors la conscience tranquille. Le réveil est brutal : des dizaines de followers ont reçu des DM de mon compte avec le même message cité plus haut. De victime, je suis devenu bourreau malgré moi ! Pire, je ne peux pas répondre aux DM de followers sympas me signalant le problème, puisque j’ai explosé le nombre de DM que l’on peut envoyer en une journée !
Les risques
En récupérant le mot de passe de votre compte Twitter, le petit salaud à l’origine du hameçonnage peut deviner celui de votre email. S’il peut accéder à votre messagerie, il peut récupérer également les codes d’accès d’autres comptes, celui de votre banque par exemple, tout en étendant son hameçonnage à votre carnet d’adresses. La multiplication des médias sociaux a pour conséquence la multiplication des comptes et donc des codes d’accès. Pour se simplifier la vie, on risque donc de se contenter d’un ou deux mots de passe différents et de devenir une proie facile pour le phishing.
J’ai donc changé mon mot de passe Twitter, et également celui de mon compte mail associé sur les conseils de Marc (@annuaire_fr), que j’en profite pour remercier encore. J’espère que ça suffira et surtout que mon expérience pourra servir à d’autres.
Mise à jour du billet
Le lendemain de ce billet, j’ai reçu un message de Twitter qui a réinitialisé mon mot de passe après avoir identifié un piratage potentiel.
Je suis un peu partagé. D’un côté, il est positif que Twitter réagisse, de l’autre, le mal est déjà fait… J’avais déjà eu le temps de changer de mot de passe et ce message m’a donc contraint à en choisir un autre. C’est un peu prescrire un cachet d’aspirine à un malade qui en a déjà avalé 2 !
J’ai actuellement le même soucis sauf que on a modifié mon adresse de connexion à Twitter et je ne sais pas comment faire .. !!
Dans ce cas, le mieux est de contacter directement les équipes de Twitter
Merci pour ces infos … on le sait pourtant qu’il faut avoir différents MdP … mais pour le coup ceux de twitter et compte mail associé étaient le même dans mon cas !
Twitter fait au fond une action plutôt utile, en imaginant que le pirate ait put modifier ton mot de passe (première chose que j’aurais faite d’ailleurs…)
J’ai eu un DM du même genre ce matin, (http://twitter.com/#!/ThierryRoget/status/115779708939014144)
Je n’ai même pas cliqué, ça sentait le phishing à plein nez, mais franchement même un expert peut se faire avoir avec ce genre de truc.
Il est vraiment indispensable d’utiliser des mots de passes différents pour chaque service web. Sous OS X, il y a un « Trousseau d’accès » qui permet de les rassembler tous (sur les applications qui le supportent), et dont l’accès est protégé par un mot de passe principal.
Autrement, tu peux opter pour Opera, qui gère lui aussi les mots de passes de manière pratique, y compris lorsque tu as plusieurs comptes sur un même service.
Merci Martin pour ces conseils. Je ne suis pas sous OS X mais la fonctionnalité semble intéressante.
Ma technique consiste à bien cloisonner mes comptes pros, perso et de blogueur : au pire, le phishing en question aurait pu affecter mon blog en plus de mon compte Twitter, mais il n’y avait pas de risque de contamination avec mes comptes perso et pro.