Comptes compromis, la problématique.

Vous avez été redirigé sur cette page car un de vos comptes a été compromis (vos identifiants ont été récupérés par un tiers) et bloqués par nos services.

Si ces comptes étaient initialement utilisés pour envoyer des couriers publicitaires (non sollicités), il se construit désormais une industrie basée sur l'exploitation de comptes compromis. Cette industrie arrive à monétiser ces comptes de différentes manières (liste non exhaustive) :

  • envois de mails publicitaires (via le service smtp.free.fr)
  • Ces mails sont principalement envoyés vers des domaines situés dans des pays étrangers. Il s'agit donc de domaines vers lesquels le volume de mails légitimes reste assez restreint et pour lesquels ces mails non sollicités peuvent devenir très vite une part conséquente du traffic global venant de nos serveurs.

  • arnaques
  • Il s'agit souvent d'appel à l'aide (« je suis en Grèce/Maroc/Portugal/etc., on m'a volé mon portefeuille et j'ai besoin d'argent »). Comme ces appels à l'aide sont envoyés à vos correspondants en utilisant votre identité, les personnes qui les reçoivent ont tendance à moins se méfier.

  • informations bancaires
  • Les pirates peuvent parcourir votre boite mail pour y trouver des informations de valeurs. Le premier réflexe est de penser aux mails que votre banque peut vous envoyer mais certains sites marchands peuvent être encore plus intéressants : votre moyen de paiement y est stocké et les pirates peuvent passer commande en votre nom (soit de biens immatériels, soit en se faisant livrer à des points relais pas très regardants).

  • collecte d'informations
  • À commencer par les adresses mails et vos centres d'intérêts, il y toujours moyen de monétiser de l'information.

Ne s'agirait-il pas d'une erreur ?

L'identification des comptes compromis est raisonnablement fiable et se base sur la détection d'un certain nombre de comportements anormaux (plusieurs critères sont pris en compte pour éviter les erreurs liées à des utilisations "limites").

Seules les connexions authentifiées sur les serveurs de Free sont prises en compte. Le blocage d'un compte ne peut donc être lié au dysfonctionnement d'un équipement si celui ci n'est pas configuré pour s'authentifier. Il n'est pas non plus possible que ce soit le fait d'une simple usurpation d'identité (c'est le compte qui s'est authentifié qui est bloqué et non l'adresse mail apparente).

Il existe néanmoins une situation où des comptes non compromis peuvent être bloqués à tort. Si vous vous connectez depuis une IP partagée au moment même où cette IP est utilisée par un pirate pour s'attaquer aux comptes de nos abonnés, votre connexion est littéralement indiscernable des connexions du pirate. Cette situation se produit typiquement si vous utilisez un VPN public ou commercial (les pirates sont très friands de ce type de service) ou que vous vous connectiez depuis un réseau hébergeant des terminaux compromis (le cas est déjà arrivé sur des connexions depuis des hôtels par exemple).

Nous sommes ici dans une problématique de conflit de réputation. Si vous devez vous connecter via des réseaux publiques, alors, oui, utiliser un VPN peut être judicieux. Maintenant, si le VPN que vous utilisez pour vous connecter est massivement utilisé par des pirates (ie la lutte de l'opérateur contre les abus est insuffisante), la solution risque d'être pire que le problème.

Dans ce dernier cas, il peut être judicieux de désactiver le VPN pour les noms de serveurs suivants : pop.free.fr, imap.free.fr, smtp.free.fr, webmail.free.fr et zimbra.free.fr.

Comment vos identifiants ont-ils été compromis ?

Il s'agit là du problème de fond. Si vous n'êtes pas capable d'identifier la raison pour laquelle vos identifiants ont pû être volés, il va être difficile de vous assurer que le problème ne se reproduise pas. Il ne s'agit pas ici de distribuer les bons points et les réprimandes. Si l'objet premier de cette question est de vous inciter à réfléchir sur vos habitudes, elle nous permet également de mieux analyser les comportements des spammeurs.

Il est ici question d'industrie (du piratage) de masse et de revenus. Il faut donc bien réaliser que les coûts doivent rester faibles et que cela va se resentir sur les techniques de piratage. Les techniques permettant de pirater un grand nombre de comptes pour un faible coût vont représenter les principales sources de compromission.

Les sources de compromission les plus probables sont (par ordre décroissant de probabilité) :

  • la réutilisation de vos identifiants sur d'autres sites
  • Lorsque vous vous inscrivez sur des sites web, il est généralement demandé une adresse mail de contact et un mot de passe. L'erreur la plus commune est de réutiliser le même mot de passe que celui que vous utilisez sur l'adresse mail fournie. Si jamais l'un de ces sites se fait pirater (et cela se produit tous les jours), le pirate récupère les informations des abonnés (dont votre email et votre mot de passe).

    Certains sites conservent les mots de passe sous forme cryptée ce qui offre une sécurité supplémentaire mais il n'est pas très couteux de casser ce type de protection pour les mots de passe les plus simples et, une fois le site compromis, rien n'empeche un pirate d'enregistrer tous les mots de passe utilisés pour s'authentifier.

  • campagne de phishing
  • Le phishing est une technique qui consiste à envoyer des mails dont le contenu incite le destinataire à se connecter sur un site frauduleux et dont l'objet est de récuperer des informations personnelles comme vos identifiants. Si vous recevez un mail de la part de Free ou de tout autre société, vérifiez soigneusement que l'URL sur laquelle vous êtes renvoyé correspond bien à l'expéditeur avant toute tentative d'authentification. De telles campagnes sont régulierement reçues par nos abonnés en vu de récuperer leurs identifiants.

  • l'utilisation de réseau WiFi publics
  • Il existe ici deux problèmes différents. En premier, les WiFi publics sont accessibles sans mot de passe et le traffic peut être écouté. À moins de vérifier que vous n'utilisez que des protocoles chiffrés, vos authentifications peuvent être écoutées par tout dispositif espion. Ensuite il est délicat de s'assurer que la connexion s'est bien faite sur le routeur « officiel » et non sur un dispositif espion qui reprend le même nom de réseau Wifi. Si vous vous retrouvez sur un portail vous demandant des informations avant de pouvoir accéder à Internet, vérifiez que les informations demandées sont cohérentes (typiquement permettre de vous identifier) et, si jamais un mot de passe vous est demandé, ne fournissez pas celui de votre boite mail...

    Ce type d'attaque reste assez anectodique. Comme un dispositif espion aura une portée assez limitée (la portée du réseau Wifi), le volume de compte ainsi piraté est assez faible et n'est pas comparable aux deux techniques précédentes.

  • la compromission d'un de vos équipements réseau
  • Le terme "équipement réseau" est volontairement flou. Il n'y a pas que les ordinateurs qui soient susceptibles d'être compromis. Si vos identifiants ont été compromis, il serait judicieux de vérifier que vous n'avez aucun virus ou cheval de Troie sur les terminaux qui ont accès à vos identifiants (ordinateurs donc mais également portables, cameras IP ou tout autre équipement sur lequel vous avez pu configurer un accès à la messagerie que ce soit en consultation ou en envoi). Si un de ces équipements a été compromis, vous pouvez considerez l'ensemble de vos mots de passes comme compromis.

    Si un attaquant a pris le controle d'un de vos équippements réseau, il doit être possible de se rétribuer de manière plus efficace que par le piratage de vos boites mails (je pense typiquement aux ransomwares) mais il peut toujours être utile de vérifier l'intégrité de ses équippements en cas d'incident.

  • l'utilisation d'un mot de passe trop simple
  • Il s'agit là d'un conseil plus théorique que pratique : le coût pour tester des centaines de milliers de mot de passe pour compromettre un identifiant est très elevé et il est infiniment plus simple de récuperer des identifiants via la compromission de serveurs ou d'ordinateur. Dans les faits, cette méthode ne nous semble pas compatible avec l'industrialisation du piratage de compte que nous constatons.

À ce jour, les deux premières explications couvrent très probablement plus de 99% des cas de compromission. Sur les retours du questionnaire de déblocage (voir ci-dessous), la quasi-totalité des requereurs étaient concernés par le problème de réutilisation des mots de passe.

Comment faire debloquer votre compte ?

Le plus rapide pour faire débloquer un compte est de suivre une procédure automatique quand cela est possible. Si vous ne connaissez pas la situation de votre compte (compte principal, compte secondaire, compte rattaché à un abonnement haut-débit, etc.), vous pouvez utiliser l'interface RecupCompte qui vous indiquera la procédure à suivre ou vous permettra de récupérer un nouveau mot de passe.

Procédure automatique

Si le compte compromis est rattaché à votre abonnement Haut Débit, vous pouvez faire débloquer le compte via l'interface de gestion de votre abonnement.

De même, si le compte compromis est un compte secondaire rattaché à un compte principal (accès libre), vous pouvez faire débloquer le compte via l'interface de gestion de ce compte principal.

Dans tous les autres cas (et si ce n'est pas déjà fait), vous pouvez utiliser l'interface RecupCompte qui permet de débloquer un certain nombre de situation ou qui vous invitera à contacter le service abuse.

Service Abuse

Le délai de réponse du service abuse est très dépendant de l'actualité. Il est donc conseillé d'utiliser autant que possible les procédures automatiques. Pour que votre demande soit correctement traitée, vérifiez que vous utilisez bien le bon sujet ("compte compromis") comme demandé ci-dessous. Veuillez également vérifier que vous n'avez pas reçu une réponse de notre part dans les dossiers spams/junk avant de nous relancer.

Pour réactiver votre compte, nous vous demandons d'avoir identifié la raison probable pour laquelle vos identifiants ont été compromis et de vérifier que votre réseau est raisonnablement integre. Vous pouvez envoyer votre demande au service Abuse ( abuse@proxad.net avec comme sujet "Compte Compromis") en précisant soigneusement :

  • l'identifiant du compte compromis
  • pour chaque équipement réseau sur lequel le compte compromis est utilisé (en consultation et/ou en émission), préciser :
    • son type (ordinateur/portable/tablette/etc. sous Windows/Linux/MacOS/iOS/android/...)
    • le client de messagerie et sa configuration (Webmail, POP/IMAP/SMTP et les ports associés)
    • une brève synthèse d'une analyse antivirus/antitroyen
  • la complexité du mot de passe compromis (longueur, minuscules/majuscules/chiffres/autres caractères)
  • la réutilisation du même mot de passe sur d'autres sites/services et si vous aviez fourni le compte compromis comme adresse mail de contact
  • la présence d'IoT sur votre réseau (caméras IP, détecteurs de fumée, etc.) et préciser si certains d'entre eux sont configurés pour envoyer du mail avec authentification (en utilisant les identifiants du compte compromis)
  • l'utilisation de VPNs ou de réseaux ouverts (Wifi d'hôtels, de gare, etc.) pour consulter votre boite mail

Si vous avez de sérieuses raisons de penser que votre compte a été compromis d'une autre manière, je vous invite à nous transmettre vos explications.