piratage

[corteg]

J'ai une amie qui s'est fait pirater son adresse e-mail qui a été utilisée pour envoyer un mail a tous ses contacts (dont moi) pour demander de l'argent
l'arnaque classique quoi
la question c'est que peut-elle faire pour que cela ne se reproduise pas autrement que changer d'adresse e-mail ?
doit-elle agir au niveau de son fournisseur d'accès ?

[toaof999]

Faudrait voir comment elle s'est fait pirater son compte...
Beaucoup se font en brute force/dictionnaire par un "bot", le mot de passe n'étant pas assez difficile.
Si c'est le cas, elle peut garder la même adresse suivant son fournisseur, et mettre un mot de passe "sécurisé", i.e. assez long, avec au moins une majuscule, une minuscule et un numérique, voir un caractère spécial....
Dans le cas contraire, avec un autre fournisseur, celà pourra aussi arriver.
La première chose à faire est de chnager son mot de passe de messagerie..
Ensuite, il faut changer ses autres mots de passe...par exemple, si elle utilise le même mot de passe ailleurs, et si elle utilise son adresse mail comme référence sur les site de vente en ligne...chnager tous ces mots de passe est une obligation! (paypal, ebay, fnac, amazon...et même facebook et autres sites communautaires)
L'étape suivante est d'envoyer un mail à tous ses contacts, pour s'excuser, pour leur dire ce qui se passe et leur dire de chnager également leur mot de passe, le "bot" ayant connaissance de leur email, ils sont des cibles potentielles.

Pour éviter le piratage, le minima est d'avoir un mot de passe renforcé (généré par keypass par exemple) ou de nature difficle à trouver.
L'autre solution est de passer par un fournisseur présentant 2 facteurs d'authentification (ou double authentification), ce qui se fait de plus en plus, au quel cas, trouver le mot de passe n'est pas suffisant pour accéder à un compte (mail, bancaire...)

[TontonRobert]

C'est une bonne occasion pour utiliser PGP et crypter ses mails.
Un jour, les gens comprendront que le mail n'est pas sécurisé, par essence.

[toaof999]

PGP protège letransfert, donc sécurise l'interception du contenu...
Il ne protège en rien contre une usurpation d'authentification

[TontonRobert]

Il faut posséder la clef privée.

[Daweb]

quand je vois les clients qui débarquent avec leur date de naissance come mot de passe...
forcement, déjà un mot de passe sérieux (il peut être très simple pour son utilisateur, mais doit être par définition introuvable pour autrui) réduit une bonne partie des risques.

ensuite un pc sans saloperie style keylog, à jour, c'est mieux ^^

[corteg]

merci de ces précisions

"L'autre solution est de passer par un fournisseur présentant 2 facteurs d'authentification (ou double authentification), ce qui se fait de plus en plus, au quel cas, trouver le mot de passe n'est pas suffisant pour accéder à un compte (mail, bancaire...)

peut-on me confirmer que K-net utilise bien 2 facteurs d'authentification ?

[Daweb]

Gmail par exemple le propose (et c'ets vachement bien foutu, quand je veux me connecter sur un pc ailleurs, je dois saisir le code fourni par l'appli sur mon tel par exemple)

[toaof999]

Il faut posséder la clef privée.

Oui, pour pouvoir lire le mail, vu qu'il est crypté.
Mais avoir PGP n'empêche pas de se faire pirater son compte mail, il n'agit pas sur l'authentification à la connexion à sa messagerie..

[toaof999]

peut-on me confirmer que K-net utilise bien 2 facteurs d'authentification ?

Login+mot de passe, donc 1 seul facteurs...
Mais c'est rare chez les FAI (free et autres ne le font pas non plus) 

outlook.com et yahoo,  ou gmail -comme signalé par Daweb- le propose par exemple.
Y a meme une offre en allemagne (lavaboom) qui offre une authentification à 2 facteurs, et une authentification payante à 3 facteurs!! 

[TontonRobert]

Oui, pour pouvoir lire le mail, vu qu'il est crypté.
Mais avoir PGP n'empêche pas de se faire pirater son compte mail, il n'agit pas sur l'authentification à la connexion à sa messagerie..

Tu n'as pas besoin d'être authentifié pour envoyer un mail.
Tout le monde peut envoyer un mail depuis    toaof999@k-net.fr. Ou depuis fhollande@elysee.fr.

Il suffit d'écrire sur l'enveloppe "je suis toaof999@k-net.fr".

D'où le PGP: si tu reçoit un mail d'une personne que tu sais qu'elle chiffre les messages, et que ce message n'est pas chiffré, tu peux le jeter tout de suite.

[Damien]

La "population" des utilisateurs n'est pas prête d'utiliser PGP, tout comme la double auth avec code SMS par exemple.

[toaof999]

Oui, pour pouvoir lire le mail, vu qu'il est crypté.
Mais avoir PGP n'empêche pas de se faire pirater son compte mail, il n'agit pas sur l'authentification à la connexion à sa messagerie..

Tu n'as pas besoin d'être authentifié pour envoyer un mail.
Tout le monde peut envoyer un mail depuis    toaof999@k-net.fr. Ou depuis fhollande@elysee.fr.

Il suffit d'écrire sur l'enveloppe "je suis toaof999@k-net.fr".

D'où le PGP: si tu reçoit un mail d'une personne que tu sais qu'elle chiffre les messages, et que ce message n'est pas chiffré, tu peux le jeter tout de suite.

Mais là, c'est de l'usurpation d'identité, et si tu regardes l'en-tête ou le lien d'envoi, ça ne tient pas.
Et comme le dit Damien, quand déjà les gens ne savent pas utiliser la double authentification au niveau bancaire...pour le mail, PGP c'est mal parti...d'autant plus qu'il faut que tu préviennes tous tes contacts et qu'ils fonctionnes avec.
Au niveau professionnel, quand tu vois déjà que les utilisateurs ne changent pas ou peu leur mot de passe...on galère pour essayer d'imposer un changement tous les 6 mois a minima... et les quelques utilisateurs de la double authentification (par SMS ou mail)...on doit les tenir par la main...

[TontonRobert]

Bawé

Cyniquement, je conclurais de la façon suivante : les pigeons sont fait pour être plumé.

[toaof999]

Sont pas tous des pigeons...mais bon, Mme Michu n'est pas forcément prête à ça!!
Et j'en ai vu , des "calés" en informatique, qui faisaient pas les fiers quand ils ont eu des problèmes...et il y en a!! ;-)