Je me suis fait pirater mon compte eBay

Avant-hier, je me suis fait pirater mon compte eBay.
Explications et solutions !

Tout a commencé avec un e-mail classique de PayPal :

Hack eBay : paiement Paypal
E-mail PayPal avertissant d’un paiement

Inutile de dire que je n’ai jamais commandĂ© cet objet et que je n’habite pas en Russie  😼 !

Ni une ni deux, direction PayPal en entrant l’adresse dans la barre de recherche au cas oĂč l’e-mail serait un bel exemple d’hameçonnage (phishing en anglais), mĂȘme si je n’y croyais pas.

RĂ©sultat : la transaction apparaĂźt bien !

Hack eBay : activité PayPal
Transaction sur PayPal

Premier réflexe : ouvrir un litige chez PayPal pour contester la transaction.
Simple Ă  faire, il suffit de cliquer sur un lien et de prĂ©ciser que vous n’avez pas effectuĂ© la transaction.
La page des litiges est assez explicite et complĂšte :

Hack eBay : litige PayPal
Page du litige sur PayPal

J’attends la rĂ©ponse du vendeur, mais nous allons y venir.

Presque minuit, je sens que je ne vais pas me coucher de suite.

Direction eBay, histoire de regarder l’activitĂ© de mon (trĂšs vieux) compte.
Il s’agit d’un compte que j’utilise assez peu mais toujours actif, avec lequel j’ai commis deux erreurs.

Pour se connecter sur eBay, il faut soit utiliser le pseudonyme enregistrĂ© soit l’adresse e-mail.
Étant sĂ»r des deux, l’Ă©chec de connexion m’a confortĂ© dans mon idĂ©e de piratage de compte.

Heureusement, il m’est apparu une solution du type je croise les doigts pour que ça marche, solution visible en petit sur la page oĂč il est possible de demander Ă  rĂ©initialiser son mot de passe :

Hack eBay : Paypal sur eBay
Connexion eBay avec PayPal

Oui, il est possible de se connecter avec ses identifiants PayPal (en fait il faut s’identifier sur PayPal dans une autre fenĂȘtre et la connexion se fait automatiquement sur le compte eBay) !

Ni une ni deux, je me suis retrouvé connecté sur eBay via PayPal.

La suite est sans surprise :

  • l’adresse e-mail avait changĂ©
  • le pseudonyme avait changĂ©
  • le mot de passe avait changĂ©

Erreur du pirate : il avait laissĂ© le compte PayPal encore enregistrĂ©, s’il l’avait enlevĂ©, je pouvais dire adieu Ă  mon compte, mais peut-ĂȘtre voulait-il encore s’en servir.

J’ai donc rechangĂ© les donnĂ©es du compte et j’ai contactĂ© le vendeur pour qu’il annule la transaction, ce qu’il a fait trĂšs rapidement.

J’ai ensuite mis en place sur le compte la VĂ©rification en deux temps, parfois appelĂ© sur d’autres sites Authentification multifactorielle ou 2FA.
Cette mĂ©thode permet qu’en plus de vos informations de connexion habituelle, le site vous envoie un code par SMS (ou via une application spĂ©cifique) qu’il faut saisir.

Hack eBay : vérif. en 2 temps sur eBay
VĂ©rification en deux temps (par SMS) sur eBay

Cela augmente grandement la sécurisation du compte utilisateur, la seule contrainte est de garder son téléphone prÚs de soi, mais est-ce une contrainte en 2018 ?

VoilĂ  pour l’histoire de ce piratage.

J’ai pu en tirer quelques leçons dont la principale :

NE PAS LAISSER DE MOYEN DE PAIEMENT ENREGISTRÉ SUR UN SITE

C’est valable pour eBay mais aussi partout ailleurs (Amazon, PlayStation Store de Sony qui s’est dĂ©jĂ  fait hacker, etc.) !

La grande question du siĂšcle n’est pas de savoir si tel ou tel (gros) site se fera pirater mais de savoir QUAND il le sera.

Utilisez dĂšs que possible la double identification (SMS, code sur application, code par e-mail, etc.), cela vous sauvera peut-ĂȘtre la mise.
CĂŽtĂ© bancaire, c’est souvent mis en place via les sites, en liaison avec les banques, sous le nom de 3D Secure (SMS lors du paiement en ligne).

Enfin, réfléchissez à votre politique de mot de passe avec ces 2 suggestions :

  • pas le mĂȘme mot de passe sur tous les sites
  • majuscule(s), minuscule(s), chiffre(s) voire caractĂšre(s) spĂ©cial(aux)

5 rĂ©flexions sur “Je me suis fait pirater mon compte eBay”

  1. Il faut toujours une premiùre fois à tout 😉

    Heureusement que t’as Ă©tĂ© averti par un mail sur une adresse que tu regardes aussi !

    La grande question du siùcle n’est pas de savoir si tel ou tel (gros) site se fera pirater mais de savoir QUAND il le sera.

    Ça me rappelle un truc ça 😀

    J’avoue que la facilitĂ© de sauvegarder les donnĂ©es plutĂŽt que de devoir les retaper Ă  chaque fois est tentant…

    1. En fait PayPal m’avertit par e-mail dĂšs qu’un paiement est effectuĂ©, sur mon adresse principale.
      Pour la citation, je ne sais plus oĂč j’ai lu ça, peut-ĂȘtre chez Nitot.

  2. Alors ton nouveau mot de passe c’est Gilles-ebay#1 ?

    Et tes autres mots de passe :

    Gilles-leboncoin#1

    Gilles-caf#1

    Gilles-sociétégénérale#1

    Gilles-laredoute#1

    Gilles-youporn#1

    etc

  3. Ping : Deux prĂ©cautions valent mieux qu’une pour s’identifier sur un site – Parigot-Manchot

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Retour en haut