Avant-hier, je me suis fait pirater mon compte eBay.
Explications et solutions !
Tout a commencé avec un e-mail classique de PayPal :
Inutile de dire que je n’ai jamais commandé cet objet et que je n’habite pas en Russie 😮 !
Ni une ni deux, direction PayPal en entrant l’adresse dans la barre de recherche au cas où l’e-mail serait un bel exemple d’hameçonnage (phishing en anglais), même si je n’y croyais pas.
Résultat : la transaction apparaît bien !
Premier réflexe : ouvrir un litige chez PayPal pour contester la transaction.
Simple à faire, il suffit de cliquer sur un lien et de préciser que vous n’avez pas effectué la transaction.
La page des litiges est assez explicite et complète :
J’attends la réponse du vendeur, mais nous allons y venir.
Presque minuit, je sens que je ne vais pas me coucher de suite.
Direction eBay, histoire de regarder l’activité de mon (très vieux) compte.
Il s’agit d’un compte que j’utilise assez peu mais toujours actif, avec lequel j’ai commis deux erreurs.
Pour se connecter sur eBay, il faut soit utiliser le pseudonyme enregistré soit l’adresse e-mail.
Étant sûr des deux, l’échec de connexion m’a conforté dans mon idée de piratage de compte.
Heureusement, il m’est apparu une solution du type je croise les doigts pour que ça marche, solution visible en petit sur la page où il est possible de demander à réinitialiser son mot de passe :
Oui, il est possible de se connecter avec ses identifiants PayPal (en fait il faut s’identifier sur PayPal dans une autre fenêtre et la connexion se fait automatiquement sur le compte eBay) !
Ni une ni deux, je me suis retrouvé connecté sur eBay via PayPal.
La suite est sans surprise :
- l’adresse e-mail avait changé
- le pseudonyme avait changé
- le mot de passe avait changé
Erreur du pirate : il avait laissé le compte PayPal encore enregistré, s’il l’avait enlevé, je pouvais dire adieu à mon compte, mais peut-être voulait-il encore s’en servir.
J’ai donc rechangé les données du compte et j’ai contacté le vendeur pour qu’il annule la transaction, ce qu’il a fait très rapidement.
J’ai ensuite mis en place sur le compte la Vérification en deux temps, parfois appelé sur d’autres sites Authentification multifactorielle ou 2FA.
Cette méthode permet qu’en plus de vos informations de connexion habituelle, le site vous envoie un code par SMS (ou via une application spécifique) qu’il faut saisir.
Cela augmente grandement la sécurisation du compte utilisateur, la seule contrainte est de garder son téléphone près de soi, mais est-ce une contrainte en 2018 ?
Voilà pour l’histoire de ce piratage.
J’ai pu en tirer quelques leçons dont la principale :
NE PAS LAISSER DE MOYEN DE PAIEMENT ENREGISTRÉ SUR UN SITE
C’est valable pour eBay mais aussi partout ailleurs (Amazon, PlayStation Store de Sony qui s’est déjà fait hacker, etc.) !
La grande question du siècle n’est pas de savoir si tel ou tel (gros) site se fera pirater mais de savoir QUAND il le sera.
Utilisez dès que possible la double identification (SMS, code sur application, code par e-mail, etc.), cela vous sauvera peut-être la mise.
Côté bancaire, c’est souvent mis en place via les sites, en liaison avec les banques, sous le nom de 3D Secure (SMS lors du paiement en ligne).
Enfin, réfléchissez à votre politique de mot de passe avec ces 2 suggestions :
- pas le même mot de passe sur tous les sites
- majuscule(s), minuscule(s), chiffre(s) voire caractère(s) spécial(aux)
Il faut toujours une première fois à tout 😉
Heureusement que t’as été averti par un mail sur une adresse que tu regardes aussi !
Ça me rappelle un truc ça 😀
J’avoue que la facilité de sauvegarder les données plutôt que de devoir les retaper à chaque fois est tentant…
En fait PayPal m’avertit par e-mail dès qu’un paiement est effectué, sur mon adresse principale.
Pour la citation, je ne sais plus où j’ai lu ça, peut-être chez Nitot.
Alors ton nouveau mot de passe c’est Gilles-ebay#1 ?
Et tes autres mots de passe :
Gilles-leboncoin#1
Gilles-caf#1
Gilles-sociétégénérale#1
Gilles-laredoute#1
Gilles-youporn#1
etc
Et mince je suis démasqué, va falloir encore tout changer !
[…] vous avez lu mon précédent billet à propos du piratage de mon compte eBay, vous avez pu lire que j’ai activé une mesure de protection lors de l’identification : […]