Comment un utilisateur de Twitter s’est fait piquer son compte Twitter car le mécanisme de changement de mot de passe passait par un courrier électronique à son adresse perso et que l’utilisateur s’était fait piquer son domaine. (Avec plein de détails techniques et les courriers échangés.)
▻https://medium.com/p/24eb09e026dd
L’auteur en tire une conclusion curieuse, « Avoid Custom Domains for Your Login Email Address ». Comme si une adresse à Gmail ou Yahoo était plus sûre ! En fait, le piratage récent de Yahoo montre que non ▻http://www.pcworld.com/article/2092198/yahoo-acknowledges-yahoo-mail-hack.html
Dans les deux cas (nom de domaine perso ou bien compte de courrier chez un gros hébergeur de courrier), si l’authentification est faible, elle sera percée. Il existe des fournisseurs qui font de l’authentification par deux facteurs (par exemple le courrier + le SMS), aussi bien parmi les bureaux d’enregistrement de noms de domaine que parmi les hébergeurs de courrier (par exemple chez Gandi, bureau d’enregistrement de seenthis.net). Mais cette possibilité n’est pas toujours utilisée, sans doute parce qu’elle est contraignante pour l’utilisateur. Mais voyez les conséquences : l’identité numérique que vous avez patiemmement mis des années à bâtir peut être piquée d’un coup.
