Un de mes voisins, que je n'appréciais guère, a eu la bonne idée de déménager, ce que je ne pouvais que saluer. Seulement voilà, le tri par le vide est une bonne initiative mais reste néanmoins une méthode très sommaire, qui peut aboutir à des fuites d'information. Et ces fuites d'information peuvent elles-même amener quelqu'un de mal intentionné à des endroits où il n'aurait pas dû être.
Un de mes voisins a déménagé. Sur un coup de tête. Je dois avouer que sur le coup, ça m'a soulagé (pour un certain nombre de raisons qui me regarde). Les problèmes de voisinage sont fréquents, mais celui-ci battait non seulement sa femme, mais faisait un boucan de tous les diables à pas d'heure, m'empêchant de dormir (quoi ? ça m'arrive, si si). Bref, il avait aussi pris une sale habitude: jeter ses poubelles dans MA poubelle, pour éviter de sortir la sienne, ce qui avait pour habitude de m'énerver doucement. Mais lorsqu'il fut parti, il me laissa en cadeau dans ma poubelle plusieurs sacs bien remplis, contenant tout plein de choses diverses et variées, et j'ai de suite entrevu sur le dessus d'un sac un amas de papiers. Intrigué, je regarde ces papiers, et repère en vrac: fiche de paie, relevés EDF et bancaires, bref, une vraie mine d'or pour qui sait chercher.
Plongée en apnée dans les méandres d'une poubelle de quartier
J'ai donc récupéré (à des fins non malveillantes, je tiens à le préciser) quelques-un de ces précieux documents, en me promettant de les étudier plus en détail par la suite. Malheureusement, mon planning étant ce qu'il est, je n'ai pas pu vraiment faire de recherche avant ce soir. Et elles ont été rapides et fructueuses. Le premier document récupéré, une fiche de paie, appartient à sa femme (très peu bavarde au demeurant), et je peux y trouver des informations diverses telles que le détail de la paie, le nom et le prénom de sa femme, ainsi que son numéro de sécurité sociale. Rien de bien transcendant, mais je garde ces infos sous le coude. J'entame une recherche rapide sur Internet, ciblant cette personne en particulier, mais rien ne ressort. Idem pour le mari. Qu'à cela ne tienne, je continue.
Document suivant, le relevé de compteur EDF. EDF a mis en place depuis quelques années un espace client en ligne, qui nécessite pour s'authentifier de posséder la référence client. Je décidais donc de vérifier si mon voisin avait pris le temps de se créer un espace client, et si oui de voir si quelqu'un de malintentionné pouvait y avoir accès. Je me suis donc connecté au système d'EDF, en prenant bien sûr quelques précautions, et j'ai essayé de créer un nouvel espace client à partir du numéro de référence client, sans succès car celui-ci est déjà employé dans un autre espace client. Autrement dit, un compte a déjà été créé et rattaché à cette référence client, peine perdue donc.
Je regarde donc le troisième et dernier document dont je dispose, un relevé de la banque postale au nom de sa femme (livret A). Le numéro de compte y est inscrit, ainsi que son identifiant pour accéder à ses comptes via Internet. Je me dis qu'il y a peut-être moyen de creuser de ce côté là, la suite prouva que j'avais visé juste.
Sesame dustbin
En me connectant sur le site de la banque postale, je choisis d'accéder au compte, et clique sur le lien "mot de passe perdu", afin de repérer les informations nécessaires à la remise à zéro du mot de passe. Au programme: - identifiant d'accès - date de naissance - 6 premiers chiffres du numéro d'un compte Je possède l'identifiant, ainsi que les 6 premiers chiffres du numéro de compte, car ceux-ci sont indiqués sur le relevé bancaire. Il ne me reste qu'à deviner la date de naissance. C'est là que le numéro de sécurité sociale va bien aider: en effet, celui-ci contient l'année et le mois de naissance de l'assuré !
Pour être plus précis, il est constitué d'une série de valeurs numériques de la forme SAAMMDDCCCNNNXXXKK, dont chaque groupe a une signification (cf. Wikipedia). En l'occurence, je peux donc déduire de ce numéro que la femme de mon voisin est née en mai 1985, hors de france. Il ne me reste plus qu'à identifier le jour, ce qui n'est pas trop dur à tester au cas par cas (31 possibilités). De cette façon, une personne mal intentionnée est en mesure de prendre le contrôle de ce compte, bien que les actions réalisables à partir de ce compte soient limitées (merci La Banque Postale).
Mot de la fin
Evidemment, pour des raisons d'éthique et de morale, je n'ai pas compromis le compte bancaire de la dame; mais il est cependant très facile, avec le peu d'informations disponibles, de récupérer un accès complet et pourquoi pas d'essayer de virer des fonds. De plus, avec les quelques papiers retrouvés, d'autres scénarii d'attaques pourraient fonctionner, notamment auprès de l'administration française, ou de banques. Bref, si vous déménagez, pensez à conserver précieusemment ces papiers (pour rappel, les fiches de paie douvent être conservées à vie).