2009
10.23

hacking gmail Observations après le piratage de nombreux comptes gmail, hotmail et yahoo

Récemment, de nombreux comptes hotmail, gmail et yahoo (près de 20.000) ont été piratés. Le type d’attaque utilisé est un grand classique en matière d’attaque de messageries : le Phishing. Trop de personnes se font encore avoir de nos jours par ces techniques de mail frauduleux, copiant les caractéristiques de grandes compagnies (messageries, banques, …) en proposant des offres alléchantes ou en demandant des informations de comptes (de messagerie ou bancaire) suite à une soit-disante panne des serveurs. Les techniques de phishing sont diverses et variées, leur qualité également, mais ils ont un point commun, un envoi massif de courriels : simple, bon marché et efficace. Il faut bien admettre que certains mails reproduisent à la perfection les authentiques, utilisant des comptes de messagerie aux domaines proches des comptes réels (typosquatting ou cybersquatting), écrits en bon français (pas de fautes grossières dûs à des mauvaises traductions de vilains hackers chinois), et alliant au phishing une bonne technique de social engineering.

De nombreux utilisateurs, trop crédules il faut l’admettre (ou trop peu informés), se font encore berner par ces techniques d’hameçonnage (le magnifique terme français pour phishing). Pour preuve ces 20.000 comptes hackés par phishing, dont les comptes et mots de passes associés ont été répertoriés dans un gros fichier texte (ou plusieurs fichiers textes, je n’en suis pas certain), et surprise, ce fichier a été rendu public sur le net. Public est un bien grand mot, je veux dire public sur les réseaux underground, car le trouver sans connaissances de ces réseaux et sans savoir où chercher fais tendre vos chances de réussite vers 0. icon smile Observations après le piratage de nombreux comptes gmail, hotmail et yahoo

N’ayant pas le temps de m’adonner à cette recherche (et ayant de bonnes chances de me vautrer lamentablement), je vais donc m’appuyer sur un article de Sébastien Bilbeau (tux-planet) qui a récupéré le fameux fichier, en collaboration avec Jérome Launay (bordel de nerd), qui refuseront bien entendu de devoiler ou partager la liste (pas fous les gars). Je vais ainsi pouvoir utiliser les données de ce fichier, révélées dans l’article de tux-planet, afin d’en faire ma propre analyse.

Nous allons ainsi pouvoir divulguer quelques informations pratiques sur la routine des mots de passe couramment utilisés, les erreurs à ne pas faire, et comment sécuriser ses mots de passe (même si dans ce contexte, votre password aura beau faire 40 caractères de long, si vous le donnez comme ces gens, ben ça sert à rien (et en plus c’est chiant à retenir)). On ressort donc les listes de commandes pour faire des recherches dans les fichiers (cat, grep, …) et on analyse tout ça !


$ cat passwd.lst | wc -l
19440

Le premier chiffre obtenu fait peur, car c’est le nombre de lignes contenues dans le fichier, et en l’occurence le nombre de comptes récupérés, à raison d’un par ligne. C’est bien beau d’avoir ce gros chiffres, mais ne nous a-t-on pas parlé de différentes messageries piratées? Il doit bien y avoir un moyen de voir le détail ! Eh bien oui, grâce à cat et à grep, on va pouvoir aller un peu plus en profondeur dans le bazar.


$ cat passwd.lst | grep -i "hotmail\|msn\|live" | wc -l
12549
$ cat passwd.lst | grep -i yahoo | wc -l
2930
$ cat passwd.lst | grep -i "aol\|aim" | wc -l
1064
$ cat passwd.lst | grep -i gmail | wc -l
454
$ cat passwd.lst | grep -i comcast.net | wc -l
293

Comme on peut le voir, et c’est explicite, les comptes hotmails msn et autres live.fr, sont les principaux comptes à être tombés dans le piège (12500!). Viennent ensuite yahoo, près de 3000, et aol, environ 1000. On notera toutefois que les comptes gmail ont peu été piratés, la faute (si je puis dire) à un meilleur filtre anti-spam? Ou à une volonté des hackers de cibler en particulier hotmail et msn, qui appartient, et c’est important de le préciser, à Microsoft, que les hackers ne portent pas vraiment dans leur coeur en général. Le reste du « cat » (soit 2150 lignes) ressort de nombreuses entreprises et noms de domaines non ou peu connus.

C’est intéressant tout ça, mais nous avons la possibilité d’aller encore plus loin dans l’exploitation de ce fichier, car si nous pouvons classer les noms des adresses mail et les quantifier, nous pouvons également faire de même avec les mots de passe… Faites vos paris, à votre avis quel sera le mot de passe le plus utilisé parmis tout ces comptes? Les gens sécurisent-ils leurs mots de passe convenablement? Là est la vraie question de cet article, et nous allons bientôt le savoir…

$ cat passwd.lst | awk -F':' '{print $2}' | sort | uniq -c | sort -nr | head -n 50
...
87 123456
33 neopets
25 123456789
21 monkey
17 password
16 123321
13 tigger
13 princess
13 iloveyou
13 horses
13 111111
12 pokemon
12 cheese
11 daniel
11 alejandra
10 nicole
10 kitty
...
9 12345678
9 1234567
9 12345
8 purple
8 poop
8 jessica
8 hello
8 dragon
8 cookie
...
8 654321
7 shadow
7 secret
7 flower
...
7 123123
7 112233
7 000000
6 soccer

Le résultat est, comme on s’en doutait, affligeant. On retrouve bien évidemment le fameux « 123456 » et toutes ses dérivées qui ne trompent personne. On peut encore remarquer d’autres mots de passe classiques comme « secret » « password » « iloveyou » « hello » et une facheuse tendance à faire de son prénom un mot de passe.

Vous vous doutez bien qu’il n’y a pas non plus que des passwords de ce type qui sont utilisés, on pourrait même dire que certaines personnes jouent la carte de l’extrême et nous sortent des passwords sortis du fin fond de l’espace, voyez vous même :

!@#$%^&*()
UGD!@#$%^&*()
t]djlvdlhg\'kd[d
$1_aitor_4$_alcatraz
09876543211234567890
sophiagarnermoore14
mariaguadalupedeguadalajara
rosario250988lupita151201
//**ingenierogalvez010205
chuchito16TEAMOerestodopami
no,entiendo,no
18spider10man86
*1879600505602*
xxx_xxx_xxx_1978
yarabb`=100
\"bitch\"

Ces gens ont une vision des choses qui tiens plus de la paranoïa que de la sécurité en elle-même, car pour la plupart des utilisateurs de ces passwords doivent avoir des tendances masochistes.

« Oui mais tout à l’heure tu râlais parceque les gens utilisaient des mots de passe bidons et maintenant tu râles encore avec les passwords über secure, faudrait savoir… » Ouiouioui certes, mais vous conviendrez qu’il faut un juste milieu, et en l’occurence un mot de passe harmonieux qui contiendrait un nombre de caractère suffisants (entre 7 et 10), pas de mot ou phrase ou prénom, pas de lettres ou chiffres toutes collées sur le clavier, un mélange de caractères alpha-numérique et bien entendu au minimum un caractère spécial.

On notera toutefois que le premier password de la liste ci-dessus,!@#$%^&*(), correspond aux touches 1 à 0 de la rangée du haut sur un clavier américain (qwerty), il paraît impressionnant comme ça, mais en réalité, c’est pas vraiment le top (surtout si quelqu’un regarde dans votre dos quand vous le tapez…).

Nous parlions de juste milieu en matière de complexité des passwords, voyons à présent si le juste milieu en terme de longueur de mots de passe est respecté.

$ cat passwd.lst | awk -F':' '{print $2}' | sort | uniq -c | sort -nr | awk '{print $2}' > long.lst
$ for line in `cat long.lst`; do echo $line | wc -c; done | sort | uniq -c | sort -nr
3849 7
2903 9
2689 8
1567 10
1182 6
1026 11
621 12
471 13
310 5
309 14
220 15
187 17
161 16
71 4
60 18
20 19
16 3
15 21
11 22
7 23
7 20
4 24
4 2
3 28
3 26
3 25
2 31
1 30

Fantastique ! On peut voir que la majorité des utilisateurs, et en particulier les 4 premiers groupes, utilisent un nombre de caractères situé entre 7 et 10 ! On peut même aller plus loin, car les 4 groupes d’utilisateurs les plus nombreux suivants sont à 6, 11, 12 et 13 caractères !

En résumé, un mot de passe efficace doit savoir allier longueur et complexité afin d’être efficace, sauf si vous avez la bonne idée de balancer vos mots de passe par mail (ce qu’on ne vous demandera jamais) et de vous faire phisher comme des bleus icon smile Observations après le piratage de nombreux comptes gmail, hotmail et yahoo

Be Sociable, Share!
  • more Observations après le piratage de nombreux comptes gmail, hotmail et yahoo

Aucun commentaire.

Ajoutez votre commentaire