mardi 18 octobre 2011

Hack GMail : la galère

Histoire effrayante.
A hacker has been occupying my email account for the past week. And he or she may still be there. A disembodied intruder, this person has been stalking my inbox, replying to messages, signing off with my nickname and refusing to let me in. They have been going through my personal history and making judgments about my character. In the weirdest twist, the hacker even started writing to me. If it wasn't so unsettling, it could be the plot of a black postmodern comedy.
J'en avais lu une similaire il y a plusieurs mois (au détour d'un tweet de Mikko Hypponen), qui avait fini de me convaincre d'utiliser l'authentification en deux étapes pour accéder à mon compte Google/GMail.
Concrètement, ce petit plus à la sécurité du compte n'est pas très contraignant : Lorsque je veux accéder à mon compte depuis un navigateur web, une page me demande de saisir un code à 6 chiffres, aléatoire, que je récupère via un "token" (dans ce cas: une application sur un smartphone).
Pour les applications ayant besoin d'accéder au compte (mails, via Thunderbird par exemple), il est possible de définir des mots de passe spécifiques aux applications ("application-specific password"), qui est une chaine de 16 caractères, entièrement en minuscules et allant de 'a' à 'z'. Il est ainsi possible d'utiliser un mot de passe pour Thunderbird et un autre pour GoogleTalk sur un poste, et un autre mot de passe pour récupérer ses e-mails sur son iPhone, ainsi, le jour où je perds mon iPhone ou que je me le fais voler et que la personne qui le récupère sait comment extraire les mots de passe stockés, il m'est possible de révoquer le mot de passe GMail attribué à ce dernier, sans avoir à modifier le mot de passe principal et à le répercuter sur tous mes périphériques.
Par contre, ce que je trouve dommage, c'est que les identifiants attribués n'apparaissent pas dans le log d'activités de GMail, afin de déterminer plus facilement quelle adresse IP est associée à quel type d'accès, afin de détecter des incohérences. Espérons que ça arrive prochainement (à condition que ça représente un intérêt pour un certain nombre de personnes j'imagine).

Ensuite, Google a prévu le cas où le périphérique servant de token pour l'authentification en deux étapes est perdu. Une grille de codes, à imprimer (et conserver précieusement) est générée pour chaque compte, à la manière de certaines banques en ligne. Ici ça consiste en 10 séries de 8 chiffres. Il est aussi possible de configurer un autre téléphone, pouvant recevoir par exemple un SMS avec le code d'authentification.

Pour ceux qui seraient arrivés sur ce blog et qui se seraient fait hacker leur compte GMail, je n'ai pas trop d'autre conseil que de suivre ce qui est dit un peu partout sur internet, à savoir utiliser un mot de passe robuste en premier lieu, activer l'authentification en 2 étapes, s'assurer d'utiliser un PC sain...Je n'expliquerai pas comment récupérer l'accès à un compte auquel vous n'avez plus accès, même si c'est le votre, mais sachez juste qu'il existerait un "formulaire de la dernière chance" à remplir en donnant un maximum de détails précis, comme la date de création du compte, les destinataires principaux des e-mails envoyés avec ce compte, etc.

Pour les autres qui ne connaissaient pas la 2-step auth de Google, j'espère que ça vous a convaincus de son utilité.