C’est la deuxième fois que je me fais hacker un compte sur internet. C’est donc que la 1ère fois ne m’a pas servi de leçon ! Alors pour m’amender, j’ai décidé de partager ma mésaventure avec vous.

Il y a 5 jours, je reçois un mail d’Apple m’informant qu’un achat avait été fait depuis mon compte sur l’Appstore. Mais que cette transaction lui paraissait suspecte car pas effectuée depuis un ordinateur ou mobile enregistré… Par chance, grâce à cette protection d’Apple, j’ai pu réinitialiser mon mot de passe et le changer. Dans la bataille j’ai perdu 2 x 20€ mais en principe Apple devrait me rembourser du fait que je n’ai pas effectué personnellement ces achats.

Que s’est-il passé ?

J’ai commis une double erreur : un mot de passe pas suffisamment compliqué pour garantir la sécurité de mon compte Apple et surtout j’ai utilisé ce mot de passe à de maintes reprises pour m’inscrire sur des forums, des sites marchands…
Le hacker a pu utiliser 2 méthodes différentes pour se connecter à mon compte :

  • La « force brute » : utilisation de toutes les combinaisons possibles : noms propres, noms communs, prénoms, suite de chiffre comme les dates de naissance… jusqu’à tomber sur le bon mot de passe.
  • Pirater un site internet sur lequel j’étais identifié avec le même mail et le même mot de passe que celui utilisé chez Apple. Cela a pu se produire soit sur un petit site/forum mal sécurisé mais aussi sur des sites de grande renommée comme cela s’est produit en juin 2012 sur le réseau social LinkedIn

Je pencherai pour la 2ème solution. La 1ère ne marche probablement pas sur le site d’Apple. En cas d’erreurs multiples lors de la saisie du mot de passe, il est quasi sûr que le détenteur du compte est prévenu et incité à changer de mot de passe pour éviter la tentative d’attaque.

Par contre, mon email et mon mot de passe favori ont certainement été récupérés sur un autre site… et LinkedIn est mon premier suspect… même si je n’ai pas de preuve.

Par ailleurs, j’ai évité le pire en ne reliant pas mon compte Apple à ma carte bancaire. Je procède en rechargeant mon compte avec des cartes prépayées lorsque j’ai besoin d’acheter des applications. Le fraudeur a donc vidé le solde de mon compte Apple mais pas mon compte bancaire !

Comment éviter de se faire pirater un compte email ou autre ?

De ma mésaventure, je retiens plusieurs éléments clés.

  • Utiliser des mots de passe complexes : mélange de 8 chiffres/lettres avec majuscules/minuscules tels que demandé à ce jour par Apple lors de la création d’un compte procure un bon niveau de sécurité. Evidemment, ne faites pas comme moi, n’utilisez pas de mot facile à trouver : date de naissance, nom du chien ou autre mot que l’on trouve dans le dictionnaire. Si vous êtes fan de foot ne choisissez pas France1998 comme mot de passe, malgré la présence de chiffres/lettres, majuscules/minuscules !
  • Ne jamais utiliser 2 fois le même mot de passe, y compris pour des comptes différents.
  • Les changer régulièrement, sans être parano : tous les 6 mois me parait raisonnable.
  • Attention aussi aux « Questions Secrètes » sensées vous aider à retrouver votre mot de passe en cas d’oubli de votre part. Le nom de jeune fille de votre mère ou votre date de naissance ne sont peut-être pas si difficiles à trouver !
  • Si vous n’êtes pas sûr de la fiabilité d’un site qui vous demande de vous inscrire avec votre adresse mail, créez en une exprès, éventuellement via un service de mail « jetable ».

Après ce piratage, j’ai fait un peu le ménage dans mes comptes mails et autres. En principe, je devrai être à l’abri d’une nouvelle attaque à mon encontre !

Et vous, chers visiteurs, où en êtes-vous avec la sécurité de vos comptes ?

Source photo: http://www.flickr.com/photos/55046645@N00/3933514241