Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Vive les réseaux sociaux !

Vive les réseaux sociaux !
2008-11-242013-02-11sécurité du poste de travailfr
Quelle magnifique invention que les réseaux sociaux ! Grâce aux facebook, myspace, copainsdavant et autres linkedin nous pouvons mettre en vitrine notre vie, nos photos, nos avis sur le monde qui nous entoure, nos goûts, nos idées politiques ainsi que des informations sur notre parcours...
Publié le 24 Novembre 2008 par Hervé Troalic dans sécurité du poste de travail

Quelle magnifique invention que les réseaux sociaux ! Grâce aux facebook, myspace, copainsdavant et autres linkedin nous pouvons mettre en vitrine notre vie, nos photos, nos avis sur le monde qui nous entoure, nos goûts, nos idées politiques ainsi que des informations sur notre parcours professionnel.

Quelle extraordinaire opportunité pour les pirates et les escrocs de toutes sortes.  Ces Ces attaques sur mesure, jusque là réservées aux escrocs disposant de temps, d'argent, de savoir-faire et de moyens techniques sont désormais réalisables par tout à chacun grâce à la masse d'informations divulguées par ces réseaux sociaux.

Cet environnement et ce ciblage permet de préparer et de crédibiliser son approche en prévoyant au mieux la réaction de la victime choisie. Pour bien comprendre l'impact de ces réseaux dans ce type d'attaques, il faut comprendre les enjeux et les moyens liés à l'ingénierie sociale.

Les moyens reposent sur des contacts, des relations et de la pression exercés sur des personnes physiques, bref de la manipulation psychologique.

Vous avez une fille qui est inscrite sur un de ces réseaux.  Imaginons que je sois un pirate ou un escroc cherchant à voler de l'information sur l'entreprise X. Je suis moi-même inscrit sur le réseau social, je consulte la page de Mlle untel et me débrouille pour devenir une de ses relations (si je ne peux pas le faire directement, je chercherai à le faire en usurpant une identité - les utilisateurs d'eBay comprendrons de quoi je parle).

Après c'est facile : je parle de mes dernières vacances (miracle : nous étions au même endroit), c'est formidable car nous avons les même goûts musicaux et tout un tas d'affinités. Après quelques jours voire semaines de relations j'aurais surement obtenu des informations sur "papa" et ses activités au sein de l'entreprise X. Je vous laisse imaginer la suite.

Cette attaque aurait pu être montée sans l'utilisation du réseau social, elle aurait été plus longue. Elle montre également comment un attaquant exploite des informations professionnelles sur des sites officiels et comment il les relie avec des informations privées disponibles sur des sites de réseaux sociaux.

Ces réseaux sociaux ouvrent une porte de plus vers les informations d'entreprise. Il suffit donc aux pirates d'attaquer le personnel dans sa sphère privée, là où il est le plus vulnérable, afin de facilement rebondir vers sa sphère et ses informations professionnelles.

La parade théorique est pourtant simple, il suffit de complexifier la phase d'environnement pour les pirates et donc de limiter la diffusion de certaines informations... concrètement la tâche semble plus complexe. C'est ainsi qu'il serait grand temps de maîtriser les informations professionnelles diffusées par les entreprises et de sensibiliser et de former le personnel à une utilisation sécurisée de leurs propres systèmes d'information et aux conséquences néfastes de la diffusion massive via les réseaux sociaux  de certaines informations personnelles et professionnelles considérées à tord comme non sensibles.

Merci à Alban ONDREJECK (consultant sécurité et ingénierie sociale) qui a participé à ce billet.

4 Commentaires

  • 15 Janvier 2009
    2009-01-15
    par
    Florent
  • 25 Novembre 2008
    2009-01-15
    par
    B3r3n
    Bonjour,

    Et on ne parle pas encore ici de Spock qui nous promet une fiche complète sur tout un chacun par recoupement des informations contenues dans ces innombrables réseaux sociaux ;-)
  • 24 Novembre 2008
    2009-01-15
    par
    Votre commentaire est très intéressant Florent. C'est notamment pour cette raison que je pense que l'usurpation d'identité a de beaux jours devant elle ...
  • 24 Novembre 2008
    2009-01-15
    par
    Florent
    Remarquez les blogs c'est pareil... :)

    La plus belle utilisation c'est quand même la justice américaine qui va faire une analyse du comportement des gens en consultant leur profil facebook...
    http://www.vsd.fr/contenu-editorial/l-actualite/les-indiscrets/787-faceb...

    Ou alors l'usurpateur de l'identité de Marcus Ranum sur Facebook qui a réussi à se faire plein de contacts sans fournir la moindre preuve, alors que Marcus est connu pour son hostilité envers les réseaux sociaux...

    Il y a aussi Linkedin qui permet même de "créer" automatiquement des utilisateurs sans qu'ils ne s'inscrivent. Et en plus il permet de faire un bel organigramme des sociétés...

    Et l'outil maltego qui permet de faire des recherches avec les moteurs de recherche des réseaux sociaux. Pour cela ils ont même élaboré un système d'intelligence artificielle qui crée automatiquement des comptes utilisateur se faisant des relations entre-eux, se laissant des messages dans les blogs... et permettant d'utiliser le moteur de recherche des réseaux sociaux d'une façon "standard".

    Alors comme dirait Hervé Schauer : "Faut-il se créer un compte utilisateur dans chaque réseau social pour ne pas se faire usurper son identité?"
    Malheureusement il reste possible d'inverser le nom et le prénom, de glisser une faute d'orthographe... Aucune vérification n'étant faite...

    La plus belle utilisation que j'en ai faite était pour avoir accès à une application qui utilise comme mot de passe par défaut la date de naissance de l'utilisateur. Il suffit alors de trouver des comptes facebook correspondants (ou myspace ou copainsdavant ou ...) et de creuser un tout petit peu...

    Vive les réseaux sociaux !

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage