Oubliés les lignes de codes, les logiciels complexes, les développeurs au fond d'une cave. La nouvelle terreur du Web ressemble plus à Sherlock Holmes qu'à "Rodolphe" de la pub Free. La preuve avec Hacker Croll, l'Auvergnat le plus célèbre de la planète qui a été arrêté dans le Puy-de-Dôme lundi 22 mars 2010.
Le pirate informatique de 25 ans encourt deux ans de prison. Il est accusé d'avoir piraté le système Twitter et accédé à des comptes "sensibles" comme celui du Président américain Barack Obama ou encore de la chanteuse Britney Spears.
Comment a-t-il fait ? Il a utilisé sa cervelle et fait preuve de beaucoup de patience. "Cette faille sur le site Twitter est une faille non pas technologique mais humaine", explique Jean-Philippe Bichard, analyste chez Kasperky Lab France. "Il ne faut pas oublier que 80 % des mots de passe sont très facilement décelables."
Qui plus est, outre les mots de passe, les "questions secrètes" auxquelles il faut répondre en cas d'oubli d'un mot de passe sont souvent assez anodines. "Tout cela est un problème de mécanisme psychologique et, en la matière, l'apport des réseaux sociaux est primordiale. C'est la première fois que les personnes renseignent eux-mêmes 'Big Brother' en livrant des infos personnelles accessibles à tous sur Internet", souligne Jean-Philippe Bichard.
Tous les jours, les utilisateurs de Facebook ou Twitter, par exemple, livrent des détails sur leurs vies privées dont la somme permet de trouver assez facilement un mot de passe peu complexe. Date d'anniversaire, prénom de la petite amie ou de l'enfant, surnom du chien, lieu de vacances... les données s'accumulent et donnent autant de grain à moudre aux pirates du Net.
C'est comme cela que Hacker Croll a pu pénétré le compte d'un employé de Twitter. "Il lui a suffit de répondre à la question secrète du compte, qui était tout simplement la date de naissance de l'employé", note l'analyste de Kasperky Lab France. A partir de là, le jeune pirate a eu accès à l'Intranet de Twitter et il lui a suffit de remonter jusqu'au niveau administrateur qui gère l'ensemble des comptes du service de micro-blogging.
CV des employés, numéros de CB, détail du mode de restructuration des locaux, renouvellement des noms de domaine, données privées des comptes... Hacker Croll aurait pu utiliser de façon malfaisante ou tout simplement revendre ces données et faire beaucoup de dégâts. Au lieu de cela, l'Auvergnat est un "gentil pirate", il ne cherchait qu'à démontrer la faille d'un système.
"On confie des choses très privées à des réseaux sociaux qui n'ont pas encore identifié l'importance de la protection de la vie privée", estime Jean-Philippe Bichard. Ce dernier conseille de dire le minimum de choses sur ce type de sites, d'avoir recours à des mots de passe alphanumériques (mélangeant chiffres et lettres au minimum, avec des caractères spéciaux c'est mieux).
"Le système le plus efficace est le coffre fort numérique auquel on accède via un seul mot de passe maître et qui donne accès à des mots de passe complexes différents pour chaque service en ligne", ajoute l'analyste de Kaspersky Lab France. "Protéger ses données, c'est une discipline à acquérir mais l'internaute n'est pas encore mature."
/templates/img/global/share-byline-top-green-line.png){kind=small}
/templates/img/icons/bar-chart-1x9.gif){kind=icon}
