Ces techniques ont été illustrées par Alban dans une vidéo. Mais aussi réaliste qu'elle soit, cette "démonstration" semble rester de la science fiction pour beaucoup de lecteurs.
La première méthode et la plus évidente est bien entendu le vol de mot de passe. Le pirate utilise des informations publiées par l'utilisateur dans son profil de réseaux sociaux afin de deviner la réponse à la question secrète qui lui serait posée en cas d'oubli de mot de passe. Cette technique a été utilisée pour pirater le comte mail de Sarah Palin (femme politique américaine, membre du Parti républicain).
Les amis : dans ce cas, le pirate gagne la confiance d'une personne ou d'un groupe de personnes, puis les amène à cliquer sur des liens ou des pièces jointes contenant des logiciels malveillants.
Usurpation d'identité : ici, le pirate vous contacte en ligne (tweeter, demande de devenir amis...) en utilisant le nom de quelqu'un que vous connaissez. Puis il vous demande que vous lui fassiez une faveur en lui envoyant tel ou tel document.
Se présenter comme "quelqu'un de la maison" : Le pirate se fait passer pour un télé-assistant, un collègue... et tente de vous soutirer des informations. Un post sur le blog de Netragard relate comment cette société utilise Facebook pour réaliser des évaluations de sécurité chez des clients. "Environ 90% des personnes que nous avons réussi à pirater au cours de nos attaques nous ont fait confiance parce qu'ils croyaient que nous travaillions pour la même société qu'eux". J'ai particulièrement apprécié le paragraphe disant : "ironiquement, les premières données d'authentification que nous avons obtenues appartenaient à la personne qui nous avait engagé".
Au delà des simples informations contenues sur le poste de l'utilisateur qui s'est vu pirater ses données d'authentification, les pirates peuvent avoir accès à une grande partie du SI de l'entreprise :
"Nous avons utilisé ces informations d'identification pour accéder au web-VPN qui à son tour nous a donné accès au réseau. Il s'avère que ces données nous ont également permis d'accéder à la majorité des systèmes sur le réseau, y compris le serveur Active Directory, les ordinateurs centraux, la console du firewall"...
L'usage des réseaux sociaux doit donc être un élément à part entière dans les plans de formation/sensibilisation des entreprises. Le service à l'utilisateur peut également être un excellent vecteur d'information et aider à la prise de conscience des salariés s'il permet de répondre aux questions sécurité des utilisateurs. Et ce, même si ces questions dépassent le cadre strict des outils professionnels pris en charge traditionnellement par les équipes informatiques. Loin de se cantonner à l'univers privé des utilisateurs, les réseaux sociaux constituent un pont vers l'univers professionnel et pourraient même devenir un outil de communication pour l'entreprise. A suivre...
Article écrit par Christophe Roland datant du mois d'octobre 2009