Un mot de passe associé à l'adresse e-mail utilisée par Gérald Darmanin pour contrôler son compte Twitter est facile à trouver, et à décrypter. Nous nous sommes entretenus avec celui qui l'a découvert et tweeté.
DalilBoubakeur se présente comme « un pionnier et Expert de l'OSINT en France ». Il dit avoir mis 15 minutes « à tout casser » à trouver un mot de passe en clair et décrypter un mot de passe hashé associés à l'adresse e-mail utilisée par Gérald Darmanin pour contrôler son compte Twitter.
Le ministre de l'Intérieur n'avait pas, en effet, activé la double authentification, pas plus que l'option de « protection de la réinitialisation du mot de passe » empêchant quiconque de deviner l'adresse e-mail associée à son compte Twitter, @GDarmanin, que l'on pouvait donc retrouver en cliquant sur le lien « Mot de passe oublié ? ».
Une adresse mail relativement facile à retrouver, d'autant qu'« il l'avait mise sur son site et sur Twitter, et donc il est ministre de l'intérieur, et il l'utilise pour faire des tweets », précise l'OSINTer.
Or, ladite adresse mail figure aussi sur plusieurs sites web répertoriant celles qui ont fuité ou ont été piratées, associée à un mot de passe (en clair) de cinq caractères, ainsi qu'à l'empreinte (hash) d'un autre mot de passe associé, d'une complexité tellement faible que DalilBoubakeur a aussi pu le recalculer à partir de son empreinte.
« J'ai été choqué », nous explique DalilBoubakeur, évoquant la faiblesse de son mot de passe et le fait qu'il repose sur des données personnelles facilement reliables à l'histoire de Gérald Darmanin : « si moi j'ai pu faire ça, quelqu'un de malveillant aurait pu faire pire, et ça me choque que ce soit accessible aussi facilement et que personne ne fasse rien ».
« Dans le thread, j'avais tout masqué »
Ce jeudi, il y avait consacré un thread qu'il a finalement effacé au vu des réactions suscitées : « j'ai lancé le thread vers 9h30, et je l'ai retiré à 14h, parce que trop d'injures et de menaces, et parce que je faisais de la prévention, et les gens sont bêtes et avaient tenté de pirater son compte ».
J’ai supprimé mon thread car il y a un sacré niveau d’imbécilité profonde ici. C’est proche du néant galactique.
— Sharnalk (@DalilBoubakeur) November 12, 2020
Je tente de vous informer et vous vous comportez comme des porcs
Il précise par ailleurs que « dans le thread, j'avais tout masqué : les adresses IP, les mots de passe, histoire que des personnes malveillantes ne puisent pas s'en servir. Mais j'ai été pris à partie, on m'a même envoyé des DM d'insultes, j'ai répondu que "vous êtes des abrutis, leur souhaitant la prison" », d'aucuns ayant cherché à pirater le compte de Gérald Darmanin.
Ils veulent hack Darmanin. Je ne savais pas que les gens étaient aussi stupides.
— Sharnalk (@DalilBoubakeur) November 12, 2020
Ils ont été accouchés par le fiak et finis à la pisse. https://t.co/1LFRzIvSUp
« Je n'ai été contacté par personne, aucune autorité »
« Je n'étais pas dans une démarche malveillante, je voulais alerter tout le monde, protégez-vous ! J'ai tout fait en mode bienvaillance, j'ai taggué l'ANSSI pour que toutes les personnes en responsabilité bénéficient d'une formation et qu'on vérifie leurs comptes... J'ai eu des injures, des menaces, mais je n'ai été contacté par personne, aucune autorité. »
Comme dit ce matin. Je reste à la disposition d’@ANSSI_FR et @CyberGEND s’ils ont besoin d’aide sur quoi que ce soit.
— Sharnalk (@DalilBoubakeur) November 12, 2020
Hier, Matthieu Audibert (@GendAudibert), community manager de @CyberGend, le réseau des enquêteurs numériques de la gendarmerie, rappelait cela dit pour sa part dans un thread la procédure à suivre pour éviter de tels désagréments :
Conseil #Cybersécurité sur Twitter
— Matthieu Audibert (@GendAudibert) November 12, 2020
Vous recevez de nombreux mails ou SMS de réinitialisation de votre mot de passe ?
➡️Quelqu’un essaye de pirater votre compte.
➡️ Activez cette option dans les paramètres pic.twitter.com/jbW6PM7CMQ
« C'est ça qui me fait peur, j'ai une certaine anxiété : ces gens-là devraient être protégés, mais ils ne le sont pas, et je ne me sens pas protégé quand ils ne le sont pas. Je suis très surpris que personne au ministère de l'intérieur ne fasse d'audit sur son compte, et pas seulement. Sur les Macronleaks on trouve tout : leurs adresses email, numéros de téléphone portable, salaires... »
« J'avais déjà averti Mounir Mahjoubi parce que j'avais trouvé ses adresses mails, physiques, j'avais peur que quelqu'un de mal intentionné puisse l'attaquer, il m'avait demandé ce que j'avais trouvé, on avait discuté, mais j'étais choqué ».
« Un objectif : que policiers et gendarmes ne soient pas jetés en pâture sur les réseaux sociaux »
Ironie de l'histoire, vendredi matin, 24h après le thread de DalilBoubakeur, Gérald Darmanin expliquait que « l’article 24 de la proposition de loi des députés JM. Fauvergue et A. Thourot a un objectif : que les policiers et les gendarmes ne soient pas jetés en pâture sur les réseaux sociaux.  Nous devons protéger ceux qui nous protègent. »
L’article 24 de la proposition de loi des députés JM. Fauvergue et A. Thourot a un objectif : que les policiers et les gendarmes ne soient pas jetés en pâture sur les réseaux sociaux.
— Gérald DARMANIN (@GDarmanin) November 13, 2020
👉 Nous devons protéger ceux qui nous protègent. pic.twitter.com/vmjoaL9Cud
Mais Gérald Darmanin n'avait toujours pas, ce vendredi après-midi, protégé la procédure permettant d'empêcher quiconque de deviner son adresse e-mail. Contacté à ce sujet, son cabinet nous répond que « le mot de passe a été bien entendu changé (l’ancien n’était d’ailleurs pas celui indiqué !) et la protection de la réinitialisation activée », ainsi que la double authentification.
