Gunter Ollmann, de la X-Force ISS-IBM, n’est généralement pas un auteur facile à lire. Une fois n’est pas coutume, il se penche cette fois sur la manière de pirater un mot de passe de messagerie, article à destination de ceux pour qui le mot assembleur rappelle les soirées Lego et C++ une marque automobile.
Soit, explique Ollman, le mot de passe concerne la messagerie de l’intéressé. Dans ce cas, même si la boîte n’est celle que d’un webmail, il reste certainement une trace de mot de passe dans un recoin de navigateur ou une branche cachée de la base de registre. Des outils gratuits de récupération se trouvent à chaque détour du Web, il suffit de chercher. En étant prudent toutefois, car de plus en plus de spyware, rootkits et chevaux de Troie infectent maintenant la majorité de ces utilitaires. Le domaine public bat de l’aile.
Mais il se peut que cette recherche concerne la messagerie d’un tiers. « Ce n’est peut-être pas très beau, mais, en parcourant les sites spécialisés dans le cassage de mots de passe, vous trouverez un nombre impressionnant d’excuses, toutes aussi légitimes les unes que les autres » continue Gunter Ollmann. « Dans ce cas, il est difficile, surtout si l’on souhaite la discrétion, d’effectuer une perquisition sur la machine de l’intéressé(e). Il faut alors recourir aux services d’une entreprise dont c’est le métier ». Facilement reconnaissables, elles pavoisent souvent sous un TLD de type « ru ». list.ru, bk.ru, inbox.ru, Pochta.ru, fromru.com, front.ru, hotbox.ru, hotmail.ru, land.ru, mail15.com, mail333.com, newmail.ru, nightmail.ru, nm.ru, pisem.net, pochtamt.ru, pop3.ru, rbcmail.ru, smtp.ru… ah, ces slaves, c’est qu’ils nettoient !
Et combien çà coûte ? Généralement « 100 ». 100 dollars, 100 Euros, certainement pas 100 kopeks. Pas de payement à l’avance exigé, satisfait ou remboursé, contacts polis, discrétion assurée, disponibilité 24H sur 24 et 365 jours par an. Les virements sont si possibles à expédier à Singapour, en Inde, Malaisie, aux Philippines, pépinières de hackers spécialisés dans l’attaque Brute Force. Et Ollman de terminer avec des conseils de prudence destinés à contrer les agissements de ces officines : choix d’un fournisseur de services capable de verrouiller un accès soumis à une attaque par dictionnaire, utilisation d’un mot de passe complexe… l’on pourrait ajouter qu’il est dangereux de consulter ladite messagerie durant une conférence sécurité.
Cet article n’apprendra strictement rien aux gens du métier, des chercheurs comme Dancho Danchev ont depuis belle lurette fait le tour du sujet avec des arguments techniques et des preuves bien plus solides. Mais présenté à la « sauce ISS », l’histoire est considérablement plus digeste, digne de figurer dans les compilations des meilleurs articles de sensibilisation.