Le compte Yahoo de Sarah Palin piraté avec facilité

Pour accéder au compte Yahoo Mail de la candidate républicaine, le pirate a exploité le service de régénération de mot de passe. Une fonction nécessitant la saisie de certaines informations personnelles.

Si le candidat républicain à la Maison Blanche, John McCain, reconnaît lui-même ne pas savoir utiliser un ordinateur, il en va différemment de sa colistière, Sarah Palin. Cette dernière est même une utilisatrice chevronnée des services de messagerie de Yahoo. Des voix s'étaient d'ailleurs élevées contre l'utilisation par la candidate à la vice-présidence américaine d'un Webmail pour des affaires publiques.

Mais en se déclarant utilisatrice de Yahoo Mail, Sarah Palin a aussi éveillé la curiosité de nombre d'internautes, parmi lesquels des hackers. La semaine passée, l'équipe de campagne de John McCain a ainsi annoncé le piratage de la messagerie du gouverneur d'Alaska. Des captures d'écran du compte de messagerie de Sarah Palin ont par la suite été publiées sur Internet, sur le site Wikileaks.

Celles-ci ne révèlent a priori rien de compromettant pour la candidate. On y trouve malgré tout quelques emails, un carnet d'adresses et deux photos de famille, ainsi semble-t-il que la preuve de l'usage d'une adresse non gouvernementale pour des questions professionnelles. La loi américaine stipule en effet que les affaires liées à sa fonction gouvernementale doivent être réalisées par le biais de sa messagerie professionnelle, à des fins notamment d'archivage.

Données utilisées : date de naissance, code postale, et lieu de rencontre de son époux

Quant à l'auteur du piratage, qui s'est présenté sous le pseudonyme de Rubico, il avait publié des détails sur un forum Internet (4chan.org). Il y expliquait notamment la méthode employée pour accéder au compte. Ni social engineering ni attaque en force brute ne lui aura été nécessaire pour réussir son intrusion.

Rubico a en effet simplement exploité la faiblesse de la fonctionnalité de récupération de mot de passe de Yahoo Mail et mis à contribution Google pour obtenir des informations sur Sarah Palin. Tout utilisateur de la messagerie peut, en cas d'oubli de son mot de passe, en générer un nouveau. Il doit pour cela préciser une date de naissance, un code postal et enfin répondre à une question, en l'occurrence le lieu où Sarah Palin a rencontré son époux.

L'ensemble de ces informations étant disponibles sur Internet, l'internaute a pu facilement changer le mot de passe et accéder enfin au compte de la candidate. Et même si pour accomplir son méfait, Rubico a eu recours aux services d'un proxy, des présomptions sur sa véritable identité circulent déjà. Le nom de David Kernell, un étudiant de 20 ans, et fils d'un élu démocrate de Memphis, a déjà été cité.

Toutefois, selon une information de Computerworld, il ne pourrait s'agir de David Kernell. Le journal a en effet interrogé Gabriel Ramuglia, le webmaster de Ctunnel, le service de proxy utilisé par le hacker pour accéder au compte de Sarah Palin. L'adresse IP identifiée par le prestataire ne permettrait pas de désigner l'étudiant. L'enquête par FBI et les services secrets américains suit son cours.