24 novembre
Vive les réseaux Sociaux !
Quelle magnifique invention que les réseaux sociaux ! Grâce aux facebook, myspace, copainsdavant et autres linkedin nous pouvons mettre en vitrine notre vie, nos photos, nos avis sur le monde qui nous entoure, nos goûts, nos idées politiques ainsi que des informations sur notre parcours professionnel.
Quelle extraordinaire opportunité pour les pirates et les escrocs de toutes sortes. Ces réseaux sociaux permettent en effet des attaques de social engineering plus élaborées, sur mesure et donc plus efficaces contrairement aux attaques classiques qui se basent sur des comportements psychologiques de masse.
Ces attaques sur mesure, jusque là réservées aux escrocs disposant de temps, d’argent, de savoir-faire et de moyens techniques sont désormais réalisables par tout à chacun grâce à la masse d’informations divulguées par ces réseaux sociaux.
Il est désormais simple d’identifier une victime et d’effectuer un environnement très complet, de façon rapide, gratuite et sans besoin de disposer de moyens techniques perfectionnés.
Cet environnement et ce ciblage permet de préparer et de crédibiliser son approche en prévoyant au mieux la réaction de la victime choisie.
Pour bien comprendre l'impact de ces réseaux dans ce type
d'attaques, il faut comprendre les enjeux et les moyens liés à
l'ingénierie sociale. Les enjeux sont importants : voler des secrets,
corrompre ou faire chanter des collaborateurs de l'entreprise. Dans
certaines conditions, ou dans certains pays, il est plus facile
d'envisager ce type d'attaques que d'imaginer des attaques virtuelles
passant par des réseaux et s'appuyant sur d'hypothétiques
vulnérabilités techniques.
Les moyens reposent sur des contacts, des
relations et de la pression exercés sur des personnes physiques, bref
de la manipulation psychologique.
En quoi les réseaux sociaux sont
ils un plus ? Imaginez le scénario suivant : Vous êtes monsieur untel
responsable d'un programme de recherche ou d'une ligne de produit
innovant dans l'entreprise X. Tout le monde peut le savoir en
consultant le site Internet de votre entreprise, en participant à des
salons professionnels ou encore grâce à l’annuaire des anciens élèves
de votre école. Vous avez une fille qui est inscrite sur un de ces
réseaux. Imaginons que je sois un pirate ou un escroc cherchant à
voler de l'information sur l'entreprise X. Je suis moi-même inscrit sur
le réseau social, je consulte la page de Mlle untel et me débrouille
pour devenir une de ses relations (si je ne peux pas le faire
directement, je chercherai à le faire en usurpant une identité - les
utilisateurs d'eBay comprendrons de quoi je parle). A ce moment, je
connais ses goûts musicaux, où elle a passé ses vacances, la salle de
sport où elle fait sa gym hebdomadaire, le bar où elle va avec ses
amies. Un lieu public est un endroit particulièrement propice pour une
"approche". Je peux me charger moi-même de cette approche ou payer
quelqu'un pour le faire - il peut s'agir aussi de quelqu'un de mon
équipe. Après c'est facile : je parle de mes dernières vacances
(miracle : nous étions au même endroit), c'est formidable car nous
avons les même goûts musicaux et tout un tas d’affinités. Après
quelques jours voire semaines de relations j'aurais surement obtenu des
informations sur "papa" et ses activités au sein de l'entreprise X. Je
vous laisse imaginer la suite.
L’approche aurait pu également être
faite par courrier, téléphone, email… Le social engineering peut se
décliner sous une multitude de forme. C’est par exemple le cas du
whaling, sorte de phishing sur mesure ciblant parfaitement la victime
grâce à un environnement facilité par les réseaux sociaux.
Cette
attaque aurait pu être montée sans l'utilisation du réseau social, elle
aurait été plus longue. Elle montre également comment un attaquant
exploite des informations professionnelles sur des sites officiels et
comment il les relie avec des informations privées disponibles sur des
sites de réseaux sociaux.
Les réseaux sociaux sont
incontestablement une avancée dans le domaine de la communication mais
en tant que responsables de la sécurité nous devons les considérer
comme une menace. Peut-être faut-il rappeler qu'Internet n'est pas un
lieu rempli d'altruistes et de gens désintéressés.
Ces réseaux
sociaux ouvrent une porte de plus vers les informations d’entreprise.
Il suffit donc aux pirates d’attaquer le personnel dans sa sphère
privée, là où il est le plus vulnérable, afin de facilement rebondir
vers sa sphère et ses informations professionnelles.
Les réseaux
sociaux constituent une des problématiques de la fusion des sphères des
systèmes d’informations privées et professionnelles là où les
responsables de la sécurité peuvent difficilement mettre leurs nez sans
rentrer dans des informations à caractère privées.
La parade
théorique est pourtant simple, il suffit de complexifier la phase
d’environnement pour les pirates et donc de limiter la diffusion de
certaines informations… concrètement la tâche semble plus complexe.
C’est ainsi qu’il serait grand temps de maîtriser les informations
professionnelles diffusées par les entreprises et de sensibiliser et de
former le personnel à une utilisation sécurisée de leurs propres
systèmes d’information et aux conséquences néfastes de la diffusion
massive via les réseaux sociaux de certaines informations personnelles
et professionnelles considérées à tord comme non sensibles.
En espérant que ces réseaux sociaux susciteront plus de vocations de responsables de la sécurité que de pirates…
Merci à Alban ONDREJECK (consultant sécurité et ingénierie sociale) qui a participé à ce billet.
Wikio
Scoopeo
Viadeo
Remarquez les blogs c'est pareil... :)
La plus belle utilisation c'est quand même la justice américaine qui va faire une analyse du comportement des gens en consultant leur profil facebook...
http://www.vsd.fr/contenu-editorial/l-actualite/les-indiscrets/787-facebook-et-myspace-auxiliaires-de-la-justice-americaine
Ou alors l'usurpateur de l'identité de Marcus Ranum sur Facebook qui a réussi à se faire plein de contacts sans fournir la moindre preuve, alors que Marcus est connu pour son hostilité envers les réseaux sociaux...
Il y a aussi Linkedin qui permet même de "créer" automatiquement des utilisateurs sans qu'ils ne s'inscrivent. Et en plus il permet de faire un bel organigramme des sociétés...
Et l'outil maltego qui permet de faire des recherches avec les moteurs de recherche des réseaux sociaux. Pour cela ils ont même élaboré un système d'intelligence artificielle qui crée automatiquement des comptes utilisateur se faisant des relations entre-eux, se laissant des messages dans les blogs... et permettant d'utiliser le moteur de recherche des réseaux sociaux d'une façon "standard".
Alors comme dirait Hervé Schauer : "Faut-il se créer un compte utilisateur dans chaque réseau social pour ne pas se faire usurper son identité?"
Malheureusement il reste possible d'inverser le nom et le prénom, de glisser une faute d'orthographe... Aucune vérification n'étant faite...
La plus belle utilisation que j'en ai faite était pour avoir accès à une application qui utilise comme mot de passe par défaut la date de naissance de l'utilisateur. Il suffit alors de trouver des comptes facebook correspondants (ou myspace ou copainsdavant ou ...) et de creuser un tout petit peu...
Vive les réseaux sociaux !
Rédigé par: Florent | 24 novembre 2008 at 16:25
Votre commentaire est très intéressant Florent. C'est notamment pour cette raison que je pense que l'usurpation d'identité a de beaux jours devant elle ...
Rédigé par: Hervé Troalic | 24 novembre 2008 at 16:41
Bonjour,
Et on ne parle pas encore ici de Spock qui nous promet une fiche complète sur tout un chacun par recoupement des informations contenues dans ces innombrables réseaux sociaux ;-)
Rédigé par: B3r3n | 25 novembre 2008 at 11:48