Comment les méchants s’y prennent pour hacker des comptes de réseaux sociaux ?

Comment les méchants s’y prennent pour hacker des comptes de réseaux sociaux ?

Ce n’est pas LA technique ultime pour hacker un compte, mais je vous présente comment JE m’y prendrais pour prendre le contrôle d’un compte. Dans ce tuto, je prendrais comme exemple un compte Twitter.

Cette technique nous est présentée par Nicolas Montero-Fraysse, promo 2024. Le but de ce tutoriel n’est bien entendu pas de vous apprendre à hacker un compte, mais bien de vous en PROTÉGER. Cette technique marche pour tous les comptes de réseaux sociaux, allant de Twitter à Instagram. Assez blablaté, on passe au tuto !

Mot de passe oublié ? Mot de passe hacké !

Premièrement, nous allons récupérer une adresse mail partielle avec l’aide d’une technique toute simple que j’ai nommée « Mot de Passe oublié« . Rendez-vous sur la page de connexion de Twitter (https://twitter.com/login) et appuyez sur « Forgot password ? »

L’interface d’oubli du mot de passe sur Twitter © Nicolas MF

Vous allez vous retrouver sur une page vous demandant d’entrer un email, téléphone ou nom d’utilisateur. Entrez le nom d’utilisateur du compte, et je vous laisse regarder les photos ci-jointes. (Les infos du mail/tel sont fausses, ne cherchez pas à les réutiliser)

Donc là, nous avons réussi à récupérer une adresse mail partielle et il faut maintenant deviner ce qu’il y a derrière les ‘*’ Au lieu de jouer au mentaliste, nous allons chercher l’info sur le net. En effet, il existe sur internet des fichiers texte appelés « combolists« .

Retrouver un mot de passe facilement sur Google

Ces fichiers contiennent du texte sous la forme mail:password. Cette combinaison est récupérée sur des sites non sécurisés qui se sont faits hacker. Voyez-vous où je veux en venir ?

Il existe des millions de « combolists« , mais imaginons que nous en téléchargeons une contenant le mail que nous cherchons (mo******@h******.***). Il suffirait de rechercher le mail partiel pour avoir le mail en entier, et même un mot de passe !

Mais ces fichiers peuvent contenir des millions de combinaisons, les chercher à la main serait bien trop difficile. C’est pour ça que j’ai écrit un mini script (en python, oui j’aime python chut) qui va nous permettre de rechercher une adresse mail à l’aide d’une information partielle, grâce aux expressions régulières.

Exécution du script Python sur une machine sous Linux Mint © Nicolas MF

Ici, nous avons deux possibilités. Après une recherche rapide, nous trouvons que « hanmail » est coréen. Hors, le compte que j’essaie de hacker est français. Donc le premier match est le plus probable. mo******@h******.*** devient [email protected]

Nous avons même un mot de passe ! Je n’ai plus qu’à espérer que cette personne utilise le même mot de passe partout. Je teste donc ce mot de passe sur Twitter et… bingo ! I’m in.

Mais si le mot de passe ne marche pas, qu’est-ce que je peux faire ?

1. Chercher dans d’autre combolists (avec l’option recherche « ctrl+f »)
2. Chercher sur des sites du style https://haveibeenpwned.com (et payer pour avoir le mot de passe)

La prévention pour éviter le pire

Comme vous avez pu le voir, cette technique ne marche pas avec tous les comptes pour deux raisons :

1. Si la personne n’a pas lié son adresse mail à son compte.
2. Si la personne n’utilise pas le même mot de passe partout.

Morale de cette histoire : n’utilisez JAMAIS le même mot de passe pour tous vos sites. Vous avez pu voir qu’il est très facile pour n’importe-qui de trouver vos mots de passe (même gratuitement).

Je le répète, la technique vue ici est UNE technique parmi tant d’autres. Il est important de prendre conscience que vos mots de passe sont plus en sécurité s’ils sont différents en fonction des sites. Pour cela, il existe d’innombrables outils, à commencer par KeePass.