Qui utilise encore la bonne vieille boîte aux lettres de nos jours ? “Personne” est probablement la première réponse qui vient à l’esprit de nombreux utilisateurs. On pourrait dire que cette réponse est en partie juste et en partie fausse. Effectivement, il n’y a pas beaucoup de consommateurs qui utilisent encore activement la boîte aux lettres de nos jours. Néanmoins, le service est toujours activé pour un grand nombre d’utilisateurs.

Accès aux boîtes aux lettres électroniques via un piratage de code PIN

N’oubliez pas, le fait que vous n’utilisiez pas votre boîte aux lettres électronique ne s’applique pas nécessairement aux autres utilisateurs. Dans son rapport “Compromettre les comptes en ligne en piratant les systèmes de messagerie vocale”, le chercheur en sécurité Martin Vigo a montré lors du DEF CON 26 que la bonne vieille boîte aux lettres pourrait être une cible intéressante pour les intrus qui veulent accéder à vos comptes en ligne.

En effet, chez la plupart des fournisseurs, vous pouvez accéder à votre boîte aux lettres non seulement via votre numéro personnel, mais aussi via un numéro externe. Dans ce cas, l’accès est bien protégé par un code PIN. Cependant, ce dernier n’est pas souvent sécurisé. Il faut noter que de nombreuses personnes utilisent des codes standards qui sont également définis par le fournisseur. Il s’agit généralement des derniers chiffres du numéro de téléphone ou encore de simples codes PIN tels que “1111” ou “1234”. Même si l’utilisateur décide de changer le code PIN, la probabilité qu’il soit deviné est encore assez élevée. En effet, des études montrent que les gens sont encore moins inventifs lorsqu’ils créent des codes PIN que lorsqu’ils inventent des mots de passe.

D’une part, le numéro PIN est probablement composé de quatre chiffres, bien qu’un PIN plus long soit techniquement possible. D’autre part, de nombreux utilisateurs optent pour des séquences de quatre chiffres identiques ou des combinaisons de chiffres faciles à retenir, comme 1234, 9876 et autres. Les codes PIN commençant par 19xx sont également particulièrement populaires. Grâce à cette connaissance, la boîte aux lettres peut également être craquée plus rapidement.

Sachez qu’il n’est pas nécessaire de passer manuellement au peigne fin toutes les combinaisons. Cette tâche peut être effectuée par un script qui appelle le numéro de la boîte aux lettres et teste automatiquement différentes combinaisons en mode sonore. Cela signifie que les attaques de force brute sur les boîtes aux lettres sont non seulement possibles, mais qu’elles nécessitent également peu de ressources. Vous pourriez dire “Et alors ? De toute façon, il n’y a pas de messages de valeur dans ma boîte aux lettres”. Vous avez mal pensé.

Comment pirater PayPal et WhatsApp via une boîte aux lettres ?

Lors de la réinitialisation d’un mot de passe, bon nombre des principaux services en ligne comprennent la possibilité de vous appeler au numéro de téléphone indiqué dans votre profil pour vous fournir un code de vérification. Ainsi, la tâche des agresseurs consiste simplement à trouver le code PIN de la boîte aux lettres ainsi qu’à attendre que le téléphone de la victime soit éteint ou ait temporairement perdu la réception (par exemple, en mode avion). Il suffit ensuite aux criminels de commencer à réinitialiser le mot de passe via le service en ligne tout en sélectionnant un appel comme option de vérification. Le code est transmis directement à la boîte aux lettres électronique.

Certaines ressources en ligne utilisent un processus de vérification légèrement différent. Le service recompose le numéro de téléphone associé au compte. Il invite ensuite l’utilisateur à entrer les chiffres affichés sur la page de réinitialisation du mot de passe pour confirmation. Toutefois, il est possible de contourner ce problème en remplaçant le texte d’accueil de la boîte aux lettres par un enregistrement des tonalités du clavier correspondant aux chiffres du code de réinitialisation. Paypal est, entre autres, un service en ligne doté d’un tel système de vérification. Martin Vigo a également réussi à cracker un compte du service de paiement en ligne. Ce ne sont là que quelques exemples. En fait, de nombreux services utilisent un appel vocal automatisé vers un numéro de téléphone lié pour vérifier une réinitialisation de mot de passe ou pour fournir un code d’authentification unique à deux facteurs.

Comment se protéger du piratage des boîtes aux lettres ?

Pensez à désactiver complètement votre boîte aux lettres. À part cela, utilisez un code PIN sécurisé si vous avez absolument besoin de votre boîte aux lettres. Le numéro d’identification personnel (PIN) doit absolument comporter plus de 4 chiffres. Sachez que plus il est long, mieux c’est. La combinaison doit également être difficile à deviner et, de préférence, être une séquence aléatoire de nombres.

Ne révélez pas au hasard le numéro de téléphone auquel vos comptes en ligne sont liés. Plus il est difficile d’associer votre identité en ligne à un numéro de téléphone, mieux c’est. Par ailleurs, essayez de ne pas associer votre numéro de téléphone à un service en ligne, sauf si cela est absolument nécessaire ou requis pour une authentification à deux facteurs.