Tout à l’heure, j’ai écouté l’épisode “The Russian Passenger” du podcast Reply All. Alex arrive avec une question: il a d’un coup commencé à recevoir des alertes Uber pour des trajets à Moscou, au milieu de la nuit. Il voit que les trajets sont facturés à sa carte de crédit.
Il tente de se connecter à son compte via l’application sur son téléphone mais… son compte ne semble plus exister! L’investigation subséquente nous mène dans le monde du traffic de comptes et de mots de passe. On envisage d’abord l’hypothèse d’une faille de sécurité chez Uber, abandonnée au profit de la réutilisation de mots de passe. En effet, quand on réutilise ses mots de passe, il suffit qu’un service qu’on emploie soit compromis, et les trafiquants de comptes vont ensuite essayer notre combinaison “e-mail + mot de passe” un peu partout, pénétrant ainsi dans des comptes de service qui n’ont pas été compromis. Dans le cas d’Alex, il semblerait même que ce soit son compte Gmail qui ait été hacké, alors même qu’il utilise la double authentification… Le mystère demeure.
Bref, encore une histoire qui met en avant l’importance de ne jamais réutiliser ses mots de passe, et donc d’avoir un gestionnaire de mots de passe pour les gérer (parce que s’en souvenir c’est impossible).