Comprendre un phishing

Mon père a récemment commis l’erreur d’utiliser un ordinateur
sous Windows et de s’y connecter à son compte Orange, en entrant donc
son identifiant et mot de passe dans la fenêtre de la page web orange.frPeu
après la plupart des gens sur son carnet d’adresse ou étant en contact
par mail avec lui ont reçu un mail de phishing classique (“peux-tu
m’aider, j’ai un problème”).
Il s’en est rendu compte le lendemain et a changé son mot de passe (depuis un PC sous Lubuntu, donc a priori sûr - par contre depuis le même réseau wifi, j’espère que ce n’est pas un problème).

Vu la chronologie, il me semble que l’on n’est pas dans un cas de spoofing de l’adresse de mon père après récupération d’une liste d’adresse mail, mais bien dans un vrai piratage de sa boîte.
D’ailleurs le reply-to du message envoyé pointe bien vers la vraie adresse de mon
père, et quand sous Thunderbird je tente de répondre au message de fishing Thunderbird me donne bien la bonne adresse dans le champ “Pour” (si je comprends bien, à partir de là je peux être certain qu’à part attaque MITM, le message que j’envoie arrivera bien à la bonne adresse?).

Mais dans ce cas, pourquoi mon père a pu changer son mot de passe? Pourquoi le pirate ne l’a pas changé lui-même auparavant?
Et comment le pirate peut-il échanger avec les phishés qui répondent sans que les messages n’apparaissent dans la boîte mail de mon père?

J’ai posé la question sur ubuntu.fr mais j’obtiens des réponses pas très pertinentes par rapport à la question…

Salut,
Je ne suis pas expert dans la question mais voilà une explication plausible a ton histoire.
Le pirate n’a pas pris pleinement possession (login/mdp) de la boite mail mais seulement du cookie de session. Cela lui permet d’accéder à la boite tant que la session liée est active, mais comme pour changer un mot de passe il faut donner l’ancien il n’a pas pu le faire.
Donc si ce n’est déjà fait je lui conseillerais de vérifier les sessions actives de sa boite mail, seul certain fournisseur permettent de le voir, mais cette pratique se répand doucement.

Le mieux est bien sûr d’envoyer un mail a toute les personnes concernés pour éviter tout malentendu. Ensuite changer le mot de passe ne fait pas de mal.

OK merci, c’est effectivement une explication logique à laquelle je n’avais pas pensé…
Mais par contre la question reste de comment le pirate peut échanger avec les phishés?

Il compte peut être sur le fait que sa session a une certaine durée de vie et que c’est suffisant monter son arnaque. Il peut aussi faire en sorte que quand tu clique sur «répondre» ce n’est l’adresse de l’expéditeur qui est utilisé mais une autre.
Encore une fois ce n’est que des supposition.