SÉCURITÉ DES RÉSEAUX SOCIAUX
Technologie et sécurité
22 septembre 2010 – 15h12
Billet 3 de 6
Les réseaux sociaux sont de plus en plus populaires. Facebook et Twitter rejoignent à eux seuls plus de 660 millions d’utilisateurs avec respectivement 500 millions et 150 millions d’adeptes.
La plupart de ces réseaux offrent la possibilité d’effectuer des mises à jour de notre statut, ces statuts indiquant souvent ce que nous pensons, faisons, allons faire ou pensons des autres ou d’une certaine situation. Il arrive toutefois qu’ils véhiculent nos renseignements personnels, date de naissance, lieu de résidence, etc. Ainsi, ces réseaux contiennent une mine d’or d’informations. Mais est-ce que ceux-ci sont considérés sécuritaires et est-ce que notre information reste privée?
Facebook, le social-engineering, les outils de « datamining » et les renseignements confidentiels étaient tous en cause dans plusieurs conférences du BlackHat et du Defcon cette année. Plusieurs techniques, concepts et méthodes de sécurisation ont été présentés, mais l’attention était davantage mise sur le vol de données confidentielles.
Robin Sage
Tel que décrit lors du dernier article, plusieurs applications provenant de compagnie tierce à Facebook peuvent être vulnérable ou simplement peuvent effectuer des vols de données « sans » votre consentement puisque vous avez accepté de partager vos informations personnels en utilisant l’application.
Mais sans utiliser ces vulnérabilités, il est aussi simple d’obtenir ces renseignements par le biais de l’ingénierie sociale (social-engineering). Un cas spécifique, le cas de Robin Sage, à été démontré dans les derniers mois et présenté lors du BlackHat.
Un spécialiste en sécurité informatique, à l’aide d’une complice, ont mis en place de faux comptes Facebook, LinkedIn et Twitter représentant le profil d’une jeune et jolie belle femme dans le domaine de la sécurité informatique et reliée au domaine militaire et de l’intelligence gouvernementale.
À l’aide de ces comptes, le spécialiste à débuté ses tests en se connectant à plusieurs personnes reliées à son domaine et à certaines compagnies respectables. Ainsi, au fils des semaines, des centaines de personnes étaient connectées à ces comptes.
Après plusieurs discutions avec tout ces nouveaux contacts, il commença à demander des photos, des documents et des renseignements personnels et confidentiels reliés tant au domaine militaire que professionnel. Résultat? Des dizaines, voir des centaines de renseignements ont été obtenus. Des emplacements de bases militaires secrètes, des stratégies de la guerre en Afghanistan et plus encore. Tout cela, sans aucune vulnérabilité et piratage informatique. Que de l’ingénierie sociale…
Vol d’identité
Le cas de Robin Sage est impressionnant et sophistiqué, mais le même genre d’attaque peut survenir pour des vols d’identité simples avec vos profils Facebook et LinkedIn personnels. Pourquoi? Simplement parce que la plupart des gens ne verrouillent pas leurs comptes et permettent ainsi à n’importe qui d’aller soutirer leur information sans aucune attaque ou tour de passe-passe.
Mon conseil? Commencez par supprimer votre date de naissance et vos renseignements personnels de tous ces réseaux sociaux. Vous serez sur la bonne voie!
En espérant vous avoir fait réagir et réfléchir aux différents enjeux de la sécurité et du piratage. Je vous invite à suivre mes trois (3) autres articles sur d’autres sujets et tendances en sécurité qui suivront dans les prochaines semaines. Je vous invite aussi à m’écrire personnellement à : patrick.rousseau-mathieu@nurun.com pour toute question et commentaire.
[...] This post was mentioned on Twitter by denismartel, PathetiQ and Claude LaFreniere, NURUNconseils. NURUNconseils said: Mercredi sécurité, 3e semaine! Sécurité des réseaux sociaux http://ow.ly/2Imdd #securite #infosec [...]