Les pirates sont très inventifs pour hacker les utilisateurs. Cinq principales méthodes de piratage de type pré-hijacking ont ainsi été dévoilées par deux chercheurs en sécurité, Avinash Sudhodanan et Andrew Paverd, dont l’étude est consultable ici.
Parmi les 75 sites web les plus populaires, 35 sites sont ainsi affectés par ce pré-détournement dont notamment Dropbox, Instagram, LinkedIn, WordPress et Zoom.
Pour pirater des comptes fraîchement créés, le hacker doit posséder plusieurs informations sur sa victime comme son adresse email, son numéro de téléphone ou encore des données personnelles.
Deux méthodes exploitent la faille lorsqu’un compte mail est déjà piraté. Une autre technique consiste a créé un compte avec le mail de sa victime puis de changer l’email utilisé sans confirmer le changement. Lorsque la victime réinitialise le mot de passe, le hacker valide le changement de mail et prend alors le contrôle du compte.
Une autre vulnérabilité touche les plateformes qui ne déconnectent pas leurs utilisateurs lors d’un changement de mot de passe. Le pirate, grâce à un script automatisé, laisse le compte actif et quand l’utilisateur officiel réinitialise son mot de passe, le hacker garde le contrôle du compte.
Pour lutter contre ces failles, il faudrait que la sécurité soit améliorée par ces sites, qui devraient supprimer régulièrement les comptes qui ne valident pas la vérification de mail et surtout déconnecter toutes sessions lors d’un changement de mot de passe.
Et du côté des utilisateurs que nous sommes, nous vous conseillons de toujours activer la vérification à deux facteurs, ainsi lorsque vous vous connecterez à votre compte celui-ci devra obligatoirement vous envoyer un SMS (c’est le mieux), un mail ou un appel téléphonique automatisé pour vérifier votre identité.