Un mot de passe associé à l'adresse e-mail utilisée par Gérald Darmanin pour contrôler son compte Twitter est facile à trouver, et à décrypter. Nous nous sommes entretenus avec celui qui l'a découvert et tweeté.
DalilBoubakeur se présente comme « un pionnier et Expert de l'OSINT en France ». Il dit avoir mis 15 minutes « à tout casser » à trouver un mot de passe en clair et décrypter un mot de passe hashé associés à l'adresse e-mail utilisée par Gérald Darmanin pour contrôler son compte Twitter.
Le ministre de l'Intérieur n'avait pas, en effet, activé la double authentification, pas plus que l'option de « protection de la réinitialisation du mot de passe » empêchant quiconque de deviner l'adresse e-mail associée à son compte Twitter, @GDarmanin, que l'on pouvait donc retrouver en cliquant sur le lien « Mot de passe oublié ? ».
Une adresse mail relativement facile à retrouver, d'autant qu'« il l'avait mise sur son site et sur Twitter, et donc il est ministre de l'intérieur, et il l'utilise pour faire des tweets », précise l'OSINTer.
Or, ladite adresse mail figure aussi sur plusieurs sites web répertoriant celles qui ont fuité ou ont été piratées, associée à un mot de passe (en clair) de cinq caractères, ainsi qu'à l'empreinte (hash) d'un autre mot de passe associé, d'une complexité tellement faible que DalilBoubakeur a aussi pu le recalculer à partir de son empreinte.
« J'ai été choqué », nous explique DalilBoubakeur, évoquant la faiblesse de son mot de passe et le fait qu'il repose sur des données personnelles facilement reliables à l'histoire de Gérald Darmanin : « si moi j'ai pu faire ça, quelqu'un de malveillant aurait pu faire pire, et ça me choque que ce soit accessible aussi facilement et que personne ne fasse rien ».
« Dans le thread, j'avais tout masqué »
Ce jeudi, il y avait consacré un thread qu'il a finalement effacé au vu des réactions suscitées : « j'ai lancé le thread vers 9h30, et je l'ai retiré à 14h, parce que trop d'injures et de menaces, et parce que je faisais de la prévention, et les gens sont bêtes et avaient tenté de pirater son compte ».
J’ai supprimé mon thread car il y a un sacré niveau d’imbécilité profonde ici. C’est proche du néant galactique.
Je tente de vous informer et vous vous comportez comme des porcs— Sharnalk (@DalilBoubakeur) November 12, 2020
Il précise par ailleurs que « dans le thread, j'avais tout masqué : les adresses IP, les mots de passe, histoire que des personnes malveillantes ne puisent pas s'en servir. Mais j'ai été pris à partie, on m'a même envoyé des DM d'insultes, j'ai répondu que "vous êtes des abrutis, leur souhaitant la prison" », d'aucuns ayant cherché à pirater le compte de Gérald Darmanin.
Ils veulent hack Darmanin. Je ne savais pas que les gens étaient aussi stupides.
Ils ont été accouchés par le fiak et finis à la pisse. https://t.co/1LFRzIvSUp— Sharnalk (@DalilBoubakeur) November 12, 2020
« Je n'ai été contacté par personne, aucune autorité »
« Je n'étais pas dans une démarche malveillante, je voulais alerter tout le monde, protégez-vous ! J'ai tout fait en mode bienvaillance, j'ai taggué l'ANSSI pour que toutes les personnes en responsabilité bénéficient d'une formation et qu'on vérifie leurs comptes... J'ai eu des injures, des menaces, mais je n'ai été contacté par personne, aucune autorité. »
Comme dit ce matin. Je reste à la disposition d’@ANSSI_FR et @CyberGEND s’ils ont besoin d’aide sur quoi que ce soit.
— Sharnalk (@DalilBoubakeur) November 12, 2020
Hier, Matthieu Audibert (@GendAudibert), community manager de @CyberGend, le réseau des enquêteurs numériques de la gendarmerie, rappelait cela dit pour sa part dans un thread la procédure à suivre pour éviter de tels désagréments :
Conseil #Cybersécurité sur Twitter
Vous recevez de nombreux mails ou SMS de réinitialisation de votre mot de passe ?
➡️Quelqu’un essaye de pirater votre compte.
➡️ Activez cette option dans les paramètres pic.twitter.com/jbW6PM7CMQ— Matthieu Audibert (@GendAudibert) November 12, 2020
« C'est ça qui me fait peur, j'ai une certaine anxiété : ces gens-là devraient être protégés, mais ils ne le sont pas, et je ne me sens pas protégé quand ils ne le sont pas. Je suis très surpris que personne au ministère de l'intérieur ne fasse d'audit sur son compte, et pas seulement. Sur les Macronleaks on trouve tout : leurs adresses email, numéros de téléphone portable, salaires... »
« J'avais déjà averti Mounir Mahjoubi parce que j'avais trouvé ses adresses mails, physiques, j'avais peur que quelqu'un de mal intentionné puisse l'attaquer, il m'avait demandé ce que j'avais trouvé, on avait discuté, mais j'étais choqué ».
« Un objectif : que policiers et gendarmes ne soient pas jetés en pâture sur les réseaux sociaux »
Ironie de l'histoire, vendredi matin, 24h après le thread de DalilBoubakeur, Gérald Darmanin expliquait que « l’article 24 de la proposition de loi des députés JM. Fauvergue et A. Thourot a un objectif : que les policiers et les gendarmes ne soient pas jetés en pâture sur les réseaux sociaux.  Nous devons protéger ceux qui nous protègent. »
L’article 24 de la proposition de loi des députés JM. Fauvergue et A. Thourot a un objectif : que les policiers et les gendarmes ne soient pas jetés en pâture sur les réseaux sociaux.
👉 Nous devons protéger ceux qui nous protègent. pic.twitter.com/vmjoaL9Cud
— Gérald DARMANIN (@GDarmanin) November 13, 2020
Mais Gérald Darmanin n'avait toujours pas, ce vendredi après-midi, protégé la procédure permettant d'empêcher quiconque de deviner son adresse e-mail. Contacté à ce sujet, son cabinet nous répond que « le mot de passe a été bien entendu changé (l’ancien n’était d’ailleurs pas celui indiqué !) et la protection de la réinitialisation activée », ainsi que la double authentification.
Commentaires (45)
#1
Et pendant ce temps le quidam qui ne sécurise pas son accès Internet au sens de la Hadopi se prend une prune, lui.
#2
mais du coup le mdp trouvé à partir d’un hash d’un leak autre n’était pas le bon pour tweeter non ? ( ça empêche pas que ça devrait être des comptes audité en interne )
sinon ça me fait rire quand les sites essayent de cacher un partie d’un mail “[email protected]” il ferraient mieux de cacher le host et pas que le nom/prenom…
#3
+1
Je pensais à la même chose…
#4
l’idéal sera “[email protected]” (ca permet a quelqu’un qui a un nom de domaine perso de savoir de quel nom de domaine l’email viens, la première lettre du nom au cas ou il ai plusieurs email (admin, truc, bidule), et le c de com au cas ou pour certaine boite, il ai leur nom de domaine sur plusieurs tld (fr, com, org etc)).
#5
#6
Tu as un drôle de sens des priorités tout de même : contrairement à ta clé Wifi,
la date de naissancele mot de passe Twitter de Damanin ne permet pas de télécharger des œuvres dont la propriété intellectuelle est détenue par Universal.#7
Je dirais que tu ne rends vraiment pas compte de l’importance que peux avoir un compte d’une personnalité politique, un vrai pirate aurait pu commencer une crise diplomatique rien qu’en se servant du compte twitter, sans parler si j’ai bien compris que d’autres sites ont plus ou moins les mêmes email et mdp. Non vraiment pas le sens des priorités…
#7.1
Hum, à mon humble avis :
L’histoire n’en reste pas consternante.
#7.2
L’ironie c’est pas un de tes points fort.
Si tu fais un effort je suis certain que tu peux comprendre le sens du commentaire de jpaul.
#7.3
aucun smiley ni accolade ou guillemet pouvant laisser penser à de l’ironie et je suis sûr que certains pense réellement comme ça donc bref si réellement ironique il faudrait que l’auteur mette des smiley ou guillemet montrant l’ironie. C’est bien tout le problème des commentaires sur internet le message se doit d’être clair car il n’y a ni intonation ni langage non verbale de communiqué comme lors d’un discours ou discussion entre personnes physique.
#8
Je comprend pas l’intérêt de cette partie :
“L’article 24 de la proposition de loi des députés JM. Fauvergue et A. Thourot a un objectif : que les policiers et les gendarmes ne soient pas jetés en pâture sur les réseaux sociaux.”
qui ne fait que répéter (mot pour mot) en l’abrégeant ce qui a été écrit juste au dessus.
#9
L’adresse email n’est pas cachée dans une des captures
#10
J’imagine que si tu commences à accéder à des comptes du Ministre de l’Intérieur, tu commences à t’approcher dangereusement de capacités à trouver directement des infos et/ou des contacts susceptibles de les fournir (système de “l’arnaque au Président”)
#11
Oui mais ça n’explique pas pourquoi l’article double ce passage, une version longue puis la version courte juste après.
#12
C’est que l’un est une citation d’un Tweet, l’autre est dans le contenu de l’article NI.
Les blocs “blockquote” ne sont pas très distinguables sur le site.
#13
Mot de passe en 5 caractères ?
pipes ?
#14
Le jour où une crise diplomatique pourra réellement être déclenchée via tweeter c’est là qu’on aura un vrai problème.
#15
Déjà en 1870, https://fr.wikipedia.org/wiki/D%C3%A9p%C3%AAche_d’Ems">la dépêche d’Ems a servi de prétexte pour engager la guerre franco-prussienne, dont l’issue malheureuse pour la France, a contribué à déclencher le conflit mondial de 1914, dont l’issue malheureuse pour l’Allemagne a contribué à déclencher le conflit mondial de 1939…
#16
Avec Trump, on en est (était ?) pas loin…
#17
Une crise diplomatique je sais pas, mais créer le chaos, aucun soucis. Imagine un peu le bordel si (le compte piraté de) Darmanin twitte une connerie du genre “A des fins de lutte contre le terrorisme, nous lançons le fichier national MUSLIM”.
Va nettoyer la shitstorm et démentir un tel truc auprès de tous les énervés de la twittosphère.
#18
Le mec cherche l’intelligence sur Twitter lol. Le pire ramassis du net s’agglutine dans ce coin rendant 4chan des petits joueurs pour le coup. Par contre cette article m’a fait réfléchir sur mon empreinte laisser ici et là sur le net, qui par recoupement peut mener à des piratages.
#18.1
Oui c’est vraiment le niveau zéro
#19
Non : ||||| (au moins ce sont des caractères spéciaux
)
#19.1
Ah joli !
#20
Et ce monsieur DalilBoubakeur n’a pas pris le temps de lui faire dire, via son compte twitter, quelque chose d’intelligent !
Pour dire des conneries, il n’a pas besoin d’aide.
#21
#22
ça me fait penser à un pote il y a quelques années qui avait hacké de la même façon le compte facebook de Jean-François copé et avait publié un torrent de video de funk sur ce même compte à Noël ;-)
#23
ce qui me surprend moins et me desespère c’est la réponse :
non, non tout va bien, il ne s’est rien passé, bisous.
#24
Ah parce que t’as cru que c’était ton ami, ou ton papa ? Quel naïveté en plus, de parler publiquement de tout ça, comme si on n’était pas en guerre et que le gouvernement était aimé de tout son peuple. C’est surtout ça qui me désole, certains sont vraiment inconscients, y’a rien à faire, le monde est beau pour eux alors ça va.
#25
Je pense surtout qu’il voulais dire que si meme les “dirigeants” et leur staff “super trop cool de la mort avec 14 diplômes” ne sont pas foutu d’activé la validation en deux étape ca sent le sapin pour la sécurité du badaud moyen.
#25.1
Je parlais de son étonnement à ce que des gens profitent de ses trouvailles pour tenter un sale coup à Darmanin (et éventuellement à travers lui au-delà).
#26
L’intérêt de répéter la même chose à la suite me dépasse, mais bon, c’est pas grave.
#26.1
La première fois, c’est une citation incluse dans le corps de l’article, ça restera quoiqu’il arrive et c’est référencé par les moteurs de recherche.
Ensuite, c’est la source, d’où provient cette citation, avec un composant Twitter qui affiche le Tweet en question. Ça permet de “prouver” que c’est bien un Tweet officiel de Darmanin qui a dit cela. Mais le composant Twitter ne sera pas forcément affiché par tout le monde, notamment via des bloqueurs dans le navigateur par exemple.
Ainsi, tout le monde à l’info, certains ont en plus la source… et tant pis pour la répétition, ce n’est pas si grave.
#27
Si je comprend bien : Le mec trouve une faille d’usage du compte Twitter de Darmanin et poste sur Twitter sa trouvaille, puis vient juger du QI de la twittosphere ?
Ça ne tient pas debout. Un minimum de responsabilité et de jugeote aurait permis à cette personne d’écrire plus discrectement aux services concernés. Un étalage public est stupide en premier lieu. Sans compter les conséquences.
Et puis… bon… déjà… Twitter… Facepalm…
#28
Je pense surtout que Darmanin a plusieurs comptes, dont un qui est utilisé partout par son community manager pour communiquer sur les réseaux sociaux et répondre à ses mails. Le niveau de sécurité ne doit pas être très important pour des messages qui de toute façon finiront par être publiques. Voir même ça pourrait être un honey pot pour hacker débutant.
#29
Cette interprétation est tentante, mais à aucun moment il ne dit qu’il a trouvé le mot de passe du compte Twitter de Darmanin.
Tout ce qu’il a trouvé c’est que dans des fuites de données précédentes il y a l’adresse email que Darmanin utilise pour son compte Twitter, toujours associée à un même mot de passe très faible.
Je suppose qu’il en déduit donc que le compte Twitter a sans doute également le même mot de passe. Mais il s’est bien gardé de vérifier, vu que le faire serait du piratage et le rendrait passible de poursuites.
Ce qui rend plausible la déclaration du cabinet du ministre : “le mot de passe a été bien entendu changé (l’ancien n’était d’ailleurs pas celui indiqué !)”
#30
Il doit y avoir un bug de mon côté, car je n’ai là que du texte brut, comme au dessus.
#31
Soit. Donc c’est encore plus débile que je ne l’imaginais.
S’il ne vérifie pas, il n’a donc rien à dire. Donc pourquoi l’ouvrir. Double facepalm.
#32
Bah les énervés de la twittosphere sont un microcosme qui de toute façon n’ont aucun impact.
Si quelqu’un croit un truc débile sorti d’un compte certifié, c’est qu’il a plus de problème qu’autre chose.
Si twitter avait un quelconque impact, les USA seraient en pleine guerre civile grace au POTUS.
Justement, si Trump n’a pas réussi à déclencher une troisième guerre mondiale, personne ne le pourra, y compris en piratant un compte.
#33
Toujours le même fantasme avec Trump. Il n’a jamais voulu ni été tenté par une troisième guerre mondiale. C’est même tout l’inverse; il a rapatrié les troupes aux US d’un peu partout.
A l’inverse d’une certaine Hillary Clinton qui voulait se farcir l’Iran…
#34
Donald Trump prêt à bombarder un site nucléaire en Iran, ses conseillers l’en dissuadent
#34.1
Puis c’est sans lui rappeler que dès sa première campagne, il avait déclaré se retirer des accords nucléaires avec l’iran et rétablir l’embargo
#34.2
Titre racoleur. Il a plutôt consulté des experts sur le sujet, selon un journal qui a fait ouvertement campagne contre lui… Et si l’Iran stocke effectivement de l’uranium, il y a matière (radioactive
) à s’inquiéter.
Encore une fois, il faut analyser les faits: ce gars là n’a pas été militairement belliqueux sur la scène internationale.
#34.3
Bah d’un autre coté c’est lui qui a refusé les accords qui interdisait de le faire, donc si il est pas content du résultat il a qu’a sent prendre qu’a lui-même. Mais vus l’oiseau il vas dire que c’est la faute a quelqu’un d’autre.
#35
“Ils ont été accouchés par le fiak et finis à la pisse.”
“Je tente de vous informer et vous vous comportez comme des porcs”
Encore un qui se met au niveau de ses détracteurs, ça le décrédibilise autant que ce qu’il critique.