Compte mail piraté ?

[laramasse]

Bonjour .

Ce matin mon père ouvre thunderbird comme tous les jours pour vérifier les 2 boites mail orange qu'il possède .
Là si le mot de passe du compte de ma mère est bon , celui de son compte est invalide .
Je regarde donc les mdp dans thunderbird , c' est pourtant le bon .
Direction l' espace client orange pour une réinitialisation et changement de mdp .
Par mesure de sécurité je change aussi le mdp de la boite de ma mère et oh surprise je constate qu'il y a en fait 6 autres adresses mail associées au compte ,
toutes avec de noms plus ou moins farfelus .
Je les supprime immédiatement .

Je pense donc que son compte à été piraté .

Ai-je fait le nécessaire ?
Comment celà a-t-il pu se passer ?

PS : actuellement je fais un scan complet avec eset online , à 45% 2 objets détectés .
-----

[Flyingbike]

vous avez changé les mots de passe c'est un bon début

regardez si sur orange il n'y a pas d'identification a deux facteurs que vous pourriez activer


Ces 6 adresses mail associées sont des adresses orange ? avec es noms qui ne vous disent rien ?


Ca a pu se produire de multiples façons : soit en ligne après phishing, soit avec un logiciel malveillant dans votre ordinateur, soit en bruteforce...

Par précaution et si le piratage est avéré, il faudrait aussi changer les mdp des sites utilisant cette adresse et le même mot de passe...

[laramasse]

Bonjour et merci .

Les 6 adresses étaient bien en @orange.fr et des noms ou pseudos totalement inconnus .
Pour les mdp des sites mon père l' a fait .

Pour "l infection" c ' est étrange , il est bien "dressé" contre le phishing ou les fausses mises à jour mais bon ...
En regardant de près , j' ai trouvé un mail reçu hier aprem de "noreply@orange.fr" disant que son mot de passe de messagerie avait bien été changé
or il était absent toute la journée d' hier et l' ordi éteint .
Le mail provenait de : prod010.scribe@mailclient.oran ge.fr .

[Patrick_91]

Bonjour,

Oui chez Orange , sur l'adresse mail principale (le contractant officiel) le mot de passe mail est unique et sert a tout chez Orange
(OpenID) , il est aussi le même pour accéder à la boutique ..... Achats d'Iphones etc .... Donc si l'adresse mail a été piratée il faut d'urgence changer le password de l'utilisateur principal ...
A plus

[A voir en vidéo sur Futura]

[invite61eb8a44]

Bonjour,

Le conseil de Patrick est urgent. Il faut surtout changer le mot de passe du compte principal consenti par votre opérateur, qui donne tout pouvoir de création d'autres BL dans l'espace utilisateur de cet opérateur.

La création d'autres BL non cohérentes montre que ce compte principal a été usurpé.

La question à se poser, après la mise en sécurité de ce qui doit l'être, c'est la faille initiale qui a permis que cela arrive, c'est à dire le mode d'obtention du mot de passe du compte principal de l'espace client de l'opérateur.

Votre père a t-il cliqué sur un lien ou ouvert une pièce jointe d'un message malveillant ? Il s'agit de la séquence très classique et courante pour se faire usurper une première information qui permet l'obtention de privilèges et donc, ce qui se passe ensuite.
Le poste de travail de votre père est-il à jour, qu'il s'agisse des failles de sécurité du système d'exploitation (mise à jour Windows), des navigateurs utilisés ou des plugins installés dans ces navigateurs ?
A noter que les navigateurs, comme le client de messagerie Thunderbird peuvent stocker en clair les mots de passe des sites ou messageries consultées, suivant le mode d'usage de l'utilisateur.
Si le poste de travail fait l'objet d'une compromission, d'une façon ou d'une autre, ces informations "login mot de passe" sites et messageries consultées, présentes en clair, dans la structure de fichiers du profil du compte utilisé, peuvent être aspirées vers un tiers malveillant, puis exploitées.
Après passage d'au moins 2 moteurs viraux sur le poste, l'idéal serait de vérifier l'ensemble des mise à jour du poste, qu'il s'agisse de l'OS (Windows, s'il s'agit bien de lui), la même chose pour les navigateurs et les plugins associés. Vérifier également les versions de Flash Player, Java et toutes les applications utilisées de façon courante. La faille de sécurité peut parfois venir d'une ancienne application, disposant d'accès en ligne, avec des ports réseau ouverts.

Sur le fond des choses, il est classique de constater qu'un poste familial sur deux est compromis, d'une façon ou d'une autre. Le chiffre est énorme et en même temps, cohérent avec le nombre de menaces qui pèse sur les utilisateurs.

Les "mondes" Windows, Android et IOS (Apple) sont concernés à différents titre. Le monde Linux n'y échappe pas, même si la profusion d'agents malveillants n'atteint pas le taux constaté sur des environnements "plus familiaux".

Il n'est pas abusif d'affirmer que de fortes menaces pèsent sur les ordinateurs familiaux du monde entier (ceux des entreprises inclus pour celles qui n'ont pas prise les bonnes mesures), dans des proportions dont nous n'avons pas idée.

Constat en tant que particulier (comme cela arrive à des millions d'utilisateurs tous les jours) d'avoir mon adresse IP scannée (et les ports réseau qui vont bien) par un ordinateur localisée dans une centrale électrique située chez le mastodonte du levant. Même scénario avec une adresse IP localisée dans un pays d'Asie Centrale qui correspondait à un routeur Box de particulier, qui après vérification avait un paramétrage par défaut et donc son mot de passe admin par défaut et qui lui même était une victime utilisée en attaque par rebond ...

Si les Box des particuliers avaient un log de scans actifs IP, remontés vers une fenêtre sur les postes clients des particuliers, beaucoup éteindraient leurs Box et leurs postes (ou tablettes ou smartphones ou ...) lorsqu'ils ne les utilisent pas.

Bien heureusement, la majorité des utilisateurs n'ont pas idée de l'ampleur de ce qui se passe sur le toile. Pour s'en faire une idée, il suffirait d'imaginer sa voiture, sa moto ou son vélo circulant dans une grande ville, comme notre capitale, sans aucun feu rouge, sans aucun stop, sans aucune signalisation où la règle serait que chacun fait comme il veut, au mieux, pour circuler ...

Et portant, cela fonctionne. Tout ou presque fonctionne. Nous réalisons des transactions financières tous les jours et dans une relative grande sécurité. Il y a comme un paradoxe et pourtant, il s'agit de la réalité. Nous fonctionnons de façon cohérente, au milieu d'un désordre indescriptible, tout ou presque étant permis, en terme de flux réseau et donc d'intentions plus ou moins bienveillante.

Bon courage et bonne journée

[laramasse]

Bonjour

Voilà .Tout est changé .
L 'ordi était bien à jour .
Mon père n' a pas téléchargé de "plugin" pour lire un mail ou voir une vidéo .
Il n' y a pas d' enfant à la maison .
J ' ai passé eset : 1 positif (1 clic install je crois) puis adw (rien) puis mbam (rien) puis comodo (rien) .

Le seul souci fut l' envoi de messages avec thunderbird (uniquement par son adresse mail) : "espace disque insuffisant ,message envoyé mais non sauvegardé"
Sachant qu'il n' archive aucun message et vide sa boite tous les jours .
Même après compactage et nettoyage avec ccleaner , pareil (pour ma mère tout fonctionnait) .

Donc export contacts , désinstallation par révo , ccleaner (au cas ou) réinstall et import contact et tout OK .

Pour moi le mystère reste entier .