Mon père a récemment commis l’erreur d’utiliser un ordinateur
sous Windows et de s’y connecter à son compte Orange, en entrant donc
son identifiant et mot de passe dans la fenêtre de la page web orange.frPeu
après la plupart des gens sur son carnet d’adresse ou étant en contact
par mail avec lui ont reçu un mail de phishing classique (“peux-tu
m’aider, j’ai un problème”).
Il s’en est rendu compte le lendemain et a changé son mot de passe (depuis un PC sous Lubuntu, donc a priori sûr - par contre depuis le même réseau wifi, j’espère que ce n’est pas un problème).
Vu la chronologie, il me semble que l’on n’est pas dans un cas de spoofing de l’adresse de mon père après récupération d’une liste d’adresse mail, mais bien dans un vrai piratage de sa boîte.
D’ailleurs le reply-to du message envoyé pointe bien vers la vraie adresse de mon
père, et quand sous Thunderbird je tente de répondre au message de fishing Thunderbird me donne bien la bonne adresse dans le champ “Pour” (si je comprends bien, à partir de là je peux être certain qu’à part attaque MITM, le message que j’envoie arrivera bien à la bonne adresse?).
Mais dans ce cas, pourquoi mon père a pu changer son mot de passe? Pourquoi le pirate ne l’a pas changé lui-même auparavant?
Et comment le pirate peut-il échanger avec les phishés qui répondent sans que les messages n’apparaissent dans la boîte mail de mon père?
J’ai posé la question sur ubuntu.fr mais j’obtiens des réponses pas très pertinentes par rapport à la question…