vive les réseaux sociaux !

Quelle magnifique invention que les réseaux sociaux ! Grâce aux facebook, myspace, copainsdavant et autres linkedin nous pouvons mettre en vitrine notre vie, nos photos, nos avis sur le monde qui nous entoure, nos goûts, nos idées politiques ainsi que des informations sur notre parcours professionnel.

Quelle extraordinaire opportunité pour les pirates et les escrocs de toutes sortes.  Ces Ces attaques sur mesure, jusque là réservées aux escrocs disposant de temps, d'argent, de savoir-faire et de moyens techniques sont désormais réalisables par tout à chacun grâce à la masse d'informations divulguées par ces réseaux sociaux.

Cet environnement et ce ciblage permet de préparer et de crédibiliser son approche en prévoyant au mieux la réaction de la victime choisie. Pour bien comprendre l'impact de ces réseaux dans ce type d'attaques, il faut comprendre les enjeux et les moyens liés à l'ingénierie sociale.

Les moyens reposent sur des contacts, des relations et de la pression exercés sur des personnes physiques, bref de la manipulation psychologique.

Vous avez une fille qui est inscrite sur un de ces réseaux.  Imaginons que je sois un pirate ou un escroc cherchant à voler de l'information sur l'entreprise X. Je suis moi-même inscrit sur le réseau social, je consulte la page de Mlle untel et me débrouille pour devenir une de ses relations (si je ne peux pas le faire directement, je chercherai à le faire en usurpant une identité - les utilisateurs d'eBay comprendrons de quoi je parle).

Après c'est facile : je parle de mes dernières vacances (miracle : nous étions au même endroit), c'est formidable car nous avons les même goûts musicaux et tout un tas d'affinités. Après quelques jours voire semaines de relations j'aurais surement obtenu des informations sur "papa" et ses activités au sein de l'entreprise X. Je vous laisse imaginer la suite.

Cette attaque aurait pu être montée sans l'utilisation du réseau social, elle aurait été plus longue. Elle montre également comment un attaquant exploite des informations professionnelles sur des sites officiels et comment il les relie avec des informations privées disponibles sur des sites de réseaux sociaux.

Ces réseaux sociaux ouvrent une porte de plus vers les informations d'entreprise. Il suffit donc aux pirates d'attaquer le personnel dans sa sphère privée, là où il est le plus vulnérable, afin de facilement rebondir vers sa sphère et ses informations professionnelles.

La parade théorique est pourtant simple, il suffit de complexifier la phase d'environnement pour les pirates et donc de limiter la diffusion de certaines informations... concrètement la tâche semble plus complexe. C'est ainsi qu'il serait grand temps de maîtriser les informations professionnelles diffusées par les entreprises et de sensibiliser et de former le personnel à une utilisation sécurisée de leurs propres systèmes d'information et aux conséquences néfastes de la diffusion massive via les réseaux sociaux  de certaines informations personnelles et professionnelles considérées à tord comme non sensibles.

Merci à Alban ONDREJECK (consultant sécurité et ingénierie sociale) qui a participé à ce billet.