Accueil » Actu Hi-Tech » Articles de la semaine

« Au secours, mon compte Yahoo a été piraté »

Vécu numérique
Publié le 05/11/2009, par Isabelle Boucq

Lorsque les amis de Nathalie M. ont reçu un message leur demandant de l’argent, la plupart ont compris que son compte Yahoo avait été victime d’une attaque. Mais un collègue trop généreux est tombé dans le piège. Nathalie nous raconte son cauchemar et Yahoo offre quelques conseils.

Il est tard ce dimanche soir de septembre. Nathalie a été très occupée tout le week-end. Le lendemain, elle doit se lever de bonne heure pour prendre un train. Mais elle décide de vérifier ses emails avant de se coucher. Un des messages vient de Yahoo. Du moins en apparence. « Le message disait que je devais envoyer mon identifiant et mon mot de passe sous peine de voir mon compte Yahoo déconnecté », explique Nathalie. « Normalement, je me serais méfiée. Mais j’étais fatiguée et j’ai envoyé ce qu’ils demandaient. »

Trois jours plus tard, le téléphone de Nathalie se met à sonner. « Que se passe-t-il ? J’ai reçu un message étrange de ta part », lui répètent des amis qui figurent dans son carnet d’adresses, y compris son banquier ! Effectivement, ils ont tous reçu un message dans un français plus qu’approximatif envoyé depuis son adresse Yahoo. Ce message explique qu’elle s’est fait voler son argent pendant un voyage à Londres et demande à ses amis de lui envoyer 1 300 livres pour la dépanner…

Par le plus pur hasard, cette arnaque cousue de fil blanc peut sembler plausible à certains de ses contacts. Professeur d’anglais à l’université, Nathalie se rend de temps en temps en Angleterre où elle a beaucoup de collègues. C’est d’ailleurs un collègue anglais, intrigué, mais incapable de déchiffrer le message en français, qui le fait suivre à un autre ami qui ne connaît pas bien Nathalie et dont le français n’est pas parfait. Pourtant ce bon Samaritain va se laisser piéger. Il répond à l’email et reçoit en retour des instructions pour transférer 1 300 livres dans une agence de transfert d’argent Western Union à Manchester. Il s’exécute et l’argent est immédiatement retiré !

A ce stade, Nathalie n’a plus accès à son compte. Les pirates qui ont usurpé son identité ont vraisemblablement changé les codes d’accès pour capter en direct les réponses des correspondants. Nathalie porte plainte au commissariat de son quartier. « Ils m’ont dit que l’affaire serait immédiatement transmise à une cellule spéciale et au parquet. Mais j’ai peu d’espoir », explique-t-elle quelques semaines plus tard. « J’ai tenté de contacter Yahoo par email plusieurs fois, mais je n’ai jamais eu de réponse. Je viens d’envoyer une lettre à leur service juridique avec une photocopie de ma plainte », raconte l’internaute échaudée. « Franchement, j’ai l’impression qu’ils se moquent de leurs utilisateurs et qu’ils sont d’une désinvolture totale. Cela ne les gêne pas que des escrocs utilisent leur service pour plumer les gens ? »

Reconstruire son identité numérique

Depuis cet épisode désagréable, Nathalie tente de recoller les morceaux de son identité numérique. Elle a ouvert un autre compte…chez Google, cette fois. « J’avais imprimé mon carnet d’adresses il y a quelques années. J’ai retapé toutes les adresses que j’ai pu retrouver. Mais j’ai perdu des contacts. J’ai envoyé un message général pour prévenir mes amis de ce qui s’était passé et leur donner ma nouvelle adresse. Ca m’a pris un temps fou. » Mais l’expérience l’a aussi rendue philosophe. « Je gardais beaucoup de vieux messages. Une fois qu’ils ont disparu, on se rend compte qu’on peut se passer de beaucoup de choses. » Par contre, elle a cessé de faire des achats sur Internet pour le moment et a changé tous ses mots de passe en ligne.

Evidemment, Nathalie se sent coupable vis-à-vis de son collègue anglais si généreux et si…crédule. « Tous les universitaires dans notre spécialité ont organisé une quête pour qu’il rentre dans ses frais. Mais il n’a pas encore tout récupéré », avoue-t-elle. Il ne semble pas lui en vouloir et lui a déjà proposé de boire un verre pour rire de la mésaventure à la prochaine conférence où ils doivent bientôt se rencontrer! Décidemment, il fait preuve du fameux flegme britannique. La police anglaise a conseillé à la victime de se débrouiller tout seul pour récupérer auprès de son fournisseur d’accès les informations qui permettraient de remonter à l’origine des emails envoyés par les escrocs ! « Je n’ai ni l’envie, ni le courage d’entreprendre cette tâche », a-t-il admis à Nathalie. Les escrocs peuvent donc dormir tranquilles.

Ces jours-ci, Nathalie a reçu un message d’une amie qui a été victime d’une usurpation de son compte Yahoo presque identique. « Le message disait qu’elle s’était fait voler son sac à main à Manchester, les escrocs demandaient 900 livres. Mais au moins, aucun de ses contacts ne s’est fait avoir », résume-t-elle.

Les solutions techniques de prévention

Il va s’en dire que Yahoo est loin d’être le seul site visé par les cybercriminels. Début octobre, Hotmail avouait qu’une liste de 10.000 mots de passe pour des comptes Hotmail avait été publiée en ligne. Yahoo et Gmail révélaient eux aussi avoir été l’objet de vols massifs…

Spams, virus, usurpations d’identité, codes confidentiels publiés sur Internet, phishing (hameçonnage qui consiste à faire croire à l’internaute qu’il est sur un site de confiance comme celui de Yahoo ou de sa banque pour lui soutirer ses codes), les escroqueries pullulent sur Internet et sont devenues une activité très lucrative. Tous les experts le disent : le temps des hackers grisés par la prouesse technique est révolu. Les cybercriminels ont trouvé la poule aux œufs d’or et multiplient les techniques pour escroquer les internautes et les entreprises.

Malgré les solutions de prévention mises en place par les sites, il faut bien avouer que les internautes doivent aussi faire preuve de bon sens. Nathalie est tombée la première dans le piège en fournissant elle-même ses coordonnées aux escrocs très malins pour mettre la pression sur les internautes. Les sites ont beau répéter qu’ils ne demandent jamais à un utilisateur ce genre d’informations par email, un petit pourcentage se laissera toujours convaincre. Puis son collègue est tombé dans le deuxième piège en répondant à une demande qui aurait dû le faire réfléchir à deux fois.

Yahoo se défend en énumérant la liste des mesures de prévention. Certaines fonctions sont destinées à mieux sécuriser les comptes : le logiciel anti-spam SpamGuard est intégré, une fonction détecte et bloque les mails qui proviennent de sites de phishing connus, les virus connus de Norton Antivirus sont éradiqués, le blocage des éléments graphiques HTML empêche les spammeurs de déterminer si vous avez ouvert leurs messages.

Afin d’éviter le captage de votre nom d’utilisateur et de votre mot de passe, le protocole de sécurité SSL crypte ces données confidentielles à chaque fois que vous vous connectez, à condition que votre navigateur supporte SSL. Faites une recherche dans la rubrique d’aide de votre navigateur (Internet Explorer, Firefox, Safari,…) pour apprendre comment activer cette protection.

Enfin, Yahoo propose son « sceau de connexion », un message secret qui prouve que vous êtes bien sur un site Yahoo et non sur un faux site mis en place par des escrocs à l’hameçonnage. Dans le cas de Nathalie, le sceau n’aurait servi à rien puisqu’elle a répondu à un email sans aller sur un site.

Conseils pour éviter les pièges

Yahoo met aussi en avant des pages d’aide. Malheureusement, on les découvre souvent quand c’est trop tard. Il est évident que les millions d’utilisateurs de comptes électroniques ne se posent pas ces questions au quotidien. Yahoo propose entre autres des pages sur la gestion des identifiants ou sur les problèmes de spam et de phishing. Un post en français sur le blog de Yahoo discute directement du problème qu’a rencontré Nathalie. Il y a même un renvoi vers un formulaire pour signaler un problème de ce type à Yahoo.

Dans les cas d’usurpation de compte comme celui de Nathalie, Yahoo, qui refuse de révéler l’ampleur du problème pour ses utilisateurs, a des conseils spécifiques : changer son mot de passe régulièrement et se méfier des connexions sur des hotspots Wi-Fi publics. Pour l’instant, la solution pour se protéger sur les réseaux Wi-Fi publics est un peu compliquée pour des utilisateurs novices. Mais Yahoo affirme travailler sur une solution plus sûre et plus simple pour 2010.

< 1 >