Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  01.01.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

On trouve plein d'offres de cours ou d'outils, sur le Web, pour devenir facilement et immédiatement un pirate de comptes ASK (on parle du sulfureux réseau social ask.fm, pas du moteur de recherche ask.com).

Bien entendu, et comme toutes les offres de même nature, cette proposition ne permet pas de devenir réellement un « Pirate de comptes Ask », mais sert uniquement :

  1. À attaquer en phishing celui qui croit pouvoir le devenir.

  2. À lui taxer de l'argent.

Le candidat naïf, apprenti pirate, est fait deux fois victime, d'un coup, rien d'autre.




Des milliers de margoulins :

  1. Depuis une multitude de sites piégés (des milliers de sites piégés).

  2. Relayés par une multitude de liens (des centaines de milliers de liens).

  3. Insérés dans une multitude de forums, de zones de chat, de blogs, de listes de discussion, etc., car :

    1. Cela fait énormément de buz, surtout sur les très gros forums poubelles où ce genre de messages n'est, hypocritement, pas modéré/supprimé.

    2. Cela gonfle énormément le nombre de messages hébergés par ces forums poubelles qui deviennent de « gros » forums.

    3. Cela gonfle énormément le nombre de messages des « contributeurs » dans des systèmes de hit-parade flatteurs des plus « gros » contributeurs qui sont poussés, par leur ego, à « faire du post ».

    4. Cela gonfle énormément le nombre d'inscriptions à ces forums.

    5. Etc.

  4. Où traîne une multitude de débutants tout auréolés de leur naïve croyance en la virginité du Web.

Ces milliers de margoulins n'ont de cesse de proposer, pour pirater un compte Ask :

  • Un service absolument garanti.

  • Qui marche réellement que c'est vrai.

  • Absolument gratuit.

  • Juré.

  • Craché.

Pour pirater le compte Ask de qui vous voulez, les margoulins vous proposent la procédure simple suivante. Il vous suffit :

  1. De cliquer sur le lien qu'ils vous affichent (il y en a partout, tout plein dans tout plein de forums).

  2. De saisir un compte Ask quelconque (mettez n'importe quoi qui n'existe pas sur Ask, ils sont assez peu à vérifier si le compte existe avant de commencer l'arnaque).

  3. De donner votre adresse e-mail (eh oui ! C'est vous qui la donnez, méticuleusement, exactement, sans faute. Elle doit être absolument bonne, fonctionnelle, réelle, pour recevoir l'extraordinaire procédure de piratage que cet opportun désintéressé vous offre. Il tombe bien, celui-là ! Que Dieu le bénisse !).

  4. De recevoir la 1re partie de la procédure à suivre (histoire, pour l'opportun désintéressé de bien vérifier que vous avez donné la bonne adresse e-mail, bien réelle).

  5. D'aller chercher, sur un numéro de téléphone « légèrement surtaxé » (c'est un euphémisme : « une figure de style qui consiste à atténuer l'expression de faits ou d'idées considérés comme désagréables dans le but d'adoucir la réalité »), que l'opportun désintéressé vous donne dans son e-mail, la seconde partie de la procédure à suivre. Il s'agit de recevoir un code, soit de manière vocale soit par SMS.

    Ah !? Vous croyiez que c'était gratuit ! En réalité, c'est donc payant, à coups / coûts de 3€ de surtaxe par appel + prix de l'appel ! Et Merde ! Trop tard ! Vous avez appelé ce numéro avec votre téléphone fixe (ou votre smartphone pour recevoir le message par SMS) et lui avez donc donné votre numéro de téléphone.

  6. Oh ! Miracle ! On vous « donne », contre monnaie silencieuse et indolore, mais sonnante et trébuchante, une « clé » en bretzel liquide pour pirater le compte que vous avez désigné.



    Remarque fascinante : c'est toujours le même code

    Si vous faites la procédure complète plusieurs fois, c'est toujours le même code totalement bidon et totalement stupide que l'on vous donne, quel que soit le compte Ask indiqué pour être piraté.

    Rares sont les escrocs qui ont écrit leur logiciel de réponses automatiques à vos appels en générant un code aléatoire, différent à chaque appel.


  7. Comme ce code bidon ne sert à rien et ne va, évidemment, jamais fonctionner, le gogo frustré va rappeler et refaire sa demande de « clé » 5, 10, 20 fois, à coups de 3 € chaque fois (mon Dieu que les gogos sont bêtes !).

    Après avoir perdu une centaine d'€, dont il ne verra la douloureuse que dans 1 mois ou deux, avec sa prochaine facture de téléphone, il finit peut-être par se dire, s'il est moins crétin que la moyenne des abrutis qui tombent dans ce piège, que ça ne fonctionne pas.

  8. Variante : on dit au gogo que la procédure personnalisée pour pirater le compte Ask qu'il a désigné est dans un fichier à télécharger. Le gogo ne trouvera jamais le fichier, évidemment, et il refera sa demande de « clé » 5, 10, 20 fois, à coups de 3 € chaque fois (les gogos sont vraiment bêtes, bêtes à manger du foin !). Si le gogo trouve un fichier à télécharger, il l'ouvre sans réfléchir, dans la fébrilité de pirater un compte Ask. Là, ce n'est plus de la bêtise, c'est de la « pure connerie » [et le mot est faible pour exprimer ce que j'en pense] - le gogo mérite le ransomware ou le cryptoware qui va détruire son ordinateur, ou le keylogger qui va permettre au cybercriminel de s'emparer de son compte bancaire. C'est le seul moyen de prendre une leçon d'insécurité informatique (et encore..., il n'est même pas certain qu'elle porte ses fruits tant la bêtise est reine et bien meilleure conseillère qu'Assiste.com).

Vous aurez tout loisir de goûter l'amertume de celui qui s'est fait enchoser profondément à la lecture de votre prochaine facture de téléphone.




  1. Vous avez donné votre adresse e-mail.
    Cela permet au cybercriminel qui vous propose cette escroquerie de capturer votre adresse e-mail qu'il revendra à des spammeurs. Elle sera utilisée pour vous envoyer des spams.

  2. Votre adresse e-mail est « certifiée »
    Elle est certifiée, car vous être obligé d'ouvrir le message reçu pour poursuivre la pseudo tentative de piratage du compte Ask (il y a un traceur dans le courriel, de type Web Bug, pour la certification). Une adresse « certifiée » se vend plus cher. Pire : votre adresse certifiée sera vendue à des cybercriminels et non pas à de simples spammeurs. Ils vont lancer des attaques par pièces jointes piégées aux courriels que vous recevrez, avec des attaques en ingénierie sociale ou des blocages totaux de votre ordinateur et demande de rançon : typiquement, un ransomware ou un cryptoware.

    Lire : Comment je me fais avoir

  3. Vous avez désigné un membre de vos « cercles de connaissances »
    Vous avez désigné un membre de vos cercles de connaissances. Vous avez méticuleusement donné au cybercriminel un compte Ask qui, s'il ne peut être piraté, et ne sera pas piraté, permettra à des organismes et officines, gouvernementaux ou plus ou moins obscurs ou carrément cybercriminels, à qui cette information sera vendue, de vous espionner, de cerner l'une de vos connaissances (les personnes qui comptent pour vous) et de peaufiner votre profil.

    Lire : Cercles de connaissances


    Comme le disait Goethe en 1833 dans « Maximes et Réflexions » :

    « Dis-moi qui tu hantes, je te dirai qui tu es. »
    « Dis-moi de quoi tu t’occupes, je te dirai ce que tu deviendras. »


    C'est le tracking
    Suivi du profiling

  4. Vous avez été siphonné de votre argent
    Le cybercriminel vous demande d'appeler sur un numéro surtaxé - il y a donc un coût (3€ l'appel). Comme le piratage ne fonctionne évidemment pas, certains gogos vont appeler et rappeler plusieurs fois sur ce numéro surtaxé ! Aucune jugeote !

  5. Vous avez donné votre numéro de smartphone au cybercriminel
    Le cybercriminel a, dans la foulée, capturé votre numéro de téléphone ou de smartphone. Il est " certifié ". Il sera revendu à des spammeurs et vous serez inondé de publicités sur votre smartphone, voire de logiciels espions puisque les smartphones sont un nid à dispositifs d'écoute, de surveillance vidéo, de géolocalisation, etc..

Conclusion :
Vous avez reçu une clé ou un lien totalement bidon. Bien entendu, le pseudo piratage d'un compte Ask ne fonctionne pas puisqu'il n'est pas possible de pirater un compte Ask. Vous avez perdu de l'argent et avez donné à un cybercriminel trois informations sur vous, informations qui auraient dû rester strictement confidentielles et secrètes.

Ne cherchez pas à appeler / rappeler le numéro de téléphone surtaxé pour engueuler le « prestataire de services » ! Ce n'est qu'un robot (un ordinateur avec un logiciel de synthèse vocale au bout) de capture de données personnelles et d'encaissement d'argent. Plus vous appelez, plus vous perdez de l'argent et plus l'escroc, qui se trouve loin de son ordinateur, sur une plage de sable chaud, entouré de filles dévêtues, en gagne et vous escroque.

Enfin, d'innombrables offres de pirater un compte Ask ont pour unique but de vous faire vous abonner (payer) à une application ou un service totalement inutile, voire totalement vide (et qui ne sert absolument pas à pirater un compte Ask, ce qui est impossible), ou encore de vous faire télécharger et installer, à votre insu, ou en arrivant à vous convaincre par Ingénierie sociale, des logiciels malveillants ou espions ou dramatiquement destructeurs (ransomware ou cryptoware ou keylogger, etc.).




  1. Appartenir à l'entourage de la victime et l'épier lorsqu'elle se connecte sur son compte Ask. « Lire » ses doigts sur le clavier et deviner son mot de passe ou tenter les autres mots de passe qu'elle utilise habituellement ou tenter d'utiliser les faiblesses habituelles des mots de passe (dates de naissance ou d'un évènement important, noms et prénoms des proches et des animaux de compagnie, immatriculations des véhicules, numéro de téléphone et autres mots de passe imbéciles, etc.).

  2. Appartenir à l'entourage de la victime, ou pouvoir approcher et utiliser son matériel, et installer sur son terminal (ordinateur, smartphone, etc.) un keylogger. Ceci ne sera pas possible si la victime potentielle protège son terminal avec un identifiant et un mot de passe (sous Windows, c'est l'UAC (User Account Control - Contrôle de compte utilisateur)) et l'utilise correctement en fermant ou mettant en veille sa session dès qu'elle quitte, même un très bref instant, son terminal.

  3. Appartenir à l'entourage de la victime, ou pouvoir approcher et utiliser son matériel. Normalement cela n'est pas possible si, par exemple sous Windows, l'UAC a été mis en place et est bien utilisé. Lancer le navigateur Web Pirater un compte Ask Accéder à Ask. Il est fort probable que le mot de passe ait été enregistré pour une reconnexion rapide et s'affiche sous forme masquée (des étoiles : ************). Il est alors possible de forcer le navigateur Web à dévoiler le mot de passe (ceci est valable avec quasiment tous les navigateurs) : faire un clic droit sur le champ du mot de passe Pirater un compte Ask Sélectionner « Examiner l'élément » Pirater un compte Ask Une partie de la fenêtre du navigateur devient occupée par un outil de débogage pour développeurs Web et le code HTML de la page d'authentification Ask s'affiche Pirater un compte Ask L'une des lignes de code est surlignée - c'est celle du code qui gère le champ « Mot de passe » Pirater un compte Ask Repérez dans cette ligne le bout de code « type="password" » Pirater un compte Ask Faites un double clic pour sélectionner le mot « password » Pirater un compte Ask Remplacez-le par « text » Pirater un compte Ask Terminez en appuyant sur la touche « Entrée » (« Retour chariot ») Pirater un compte Ask Le mot de passe est désormais affiché en clair.


    Pirater un compte Ask
    Pirater un compte Ask
    Pirater un compte Ask
    Pirater un compte Ask

  4. Appartenir à la classe des cybercriminels et lancer des attaques contre les mots de passe des comptes Ask. Il faut être un hacker de très haute volée, trouver une faille de sécurité dans les logiciels serveurs de Ask (ce qui n'est pas du tout évident et fait les manchettes des journaux lorsque cela arrive, très rarement), exploiter la faille pour accéder aux serveurs d'authentification, encore plus protégés que les autres serveurs, trouver et récupérer les bases de données des hashcodes des mots de passe (les mots de passe ne sont jamais stockés en clair) et, enfin, avec des tables arc-en-ciel, casser les hashcodes (s'ils sont chiffrés en SHA-256, ce n'est pas possible actuellement et, plus tard, cela pourra prendre quelques dizaines à centaines d'années seulement, si le cybercriminel dispose d'un bon parc de plusieurs centaines de milliers d'ordinateurs ultra-puissants (par exemple un gros botnet et un logiciel de calcul distribué). Ce genre de cybercriminels ne fait d'ailleurs jamais cela pour attaquer une personne en particulier, comme chercherait à le faire un amoureux éconduit, mais pour attaquer des millions de personnes ou de comptes à la fois.

  5. Être un développeur basique de pages Web et mettre en place une bête opération de phishing (très simple à faire, en quelques minutes à quelques heures, en imitant une page d'identification Ask et en diffusant des moyens d'accéder à cette fausse page - par exemple en l'envoyant à la victime, en pièce jointe d'un e-mail, au prétexte de vérification des comptes, etc.). Comme de plus en plus de sites et d'applications Web exigent que l'on se connecte avec son identifiant Ask (ou Google, ou Twitter, etc.), on s'habitue à ce genre de demandes, parfois légitimes (officiellement au travers d'une API sécurisée de Ask, mais quel internaute regarde les liens des URL avant de cliquer dessus). Nul n'est obligé d'avoir un compte Fesse de bouc - ce n'est pas obligatoire et la protection de la vie privée s'oppose à l'usage des sites dits de socialisation. Ces sites sont faits pour étaler sa vie publiquement.

  6. Être un bête petit pirate et balancer un courriel à la victime, laissant croire que la pièce jointe, ou un lien de téléchargement, est une vidéo passionnante (un prétendu film espionnant une vedette, nue évidemment, etc.). Une fois la prétendue vidéo téléchargée, elle est illisible. Un message d'erreur prétend qu'il faut télécharger une mise à jour de Flash Player ou qui'il faut utiliser un Codec particulier, etc. Enfin..., tout ce qui conduit la victime à télécharger et installer un truc pour lequel elle ne prendra pas le temps de vérifier l'innocuité, tant elle est fébrile à l'idée de voir, tout de suite, cette vidéo alléchante. La victime vient d'installer un virus, probablement un Keylogger, grâce à l'usage d'un cheval de Troie. Le pirate récupère les codes de connexion (login et mot de passe), en clair.

Maintenant, une fois le compte pénétré, le pirate n'a plus qu'à changer le mot de passe puis à écrire et publier ce qu'il veut, pour nuire à la victime, ou exploiter le compte.