Archives de catégorie : Social engineering

Banque, escroquerie, Phishing, Social engineering

Prudence au Phone phishing

Un commentaire

Des pirates informatiques, se faisant passer pour votre banque, n’hésite pas à vous appeler au téléphone pour se faire passer pour votre conseiller financier.

Deux personnes âgées, basées dans le centre-ouest de la France, viennent de faire les frais d’une technique bien rodée, le voice phishing ou phone phishing. Les deux victimes vivent à Thouars et à Nueil-les-Aubiers dans le 79. Étonnamment, les escrocs ont attaqué deux clients de la même agence bancaire. Les pirates, dans ce cas, ne se sont pas fait passer pour la banque mais pour l’opérateur Orange. L’excuse, une mise à jour des informations bancaires des interlocuteurs.

Attention, Data Security Breach des preuves de la même attaque sous forme d’appel de conseillers financiers. La technique est la suivante. Une personne vous contacte en expliquant qu’il vous reste de l’argent sur un compte bancaire. Le pirate indique alors que cet argent peut vous être transféré. Malin, l’escroc connait l’identité et le téléphone de sa victime. Si ce dernier a repéré la banque du « poisson », un jeu d’enfant pour continuer son piège. Il indique, au téléphone, les 4 chiffres qui seraient les premiers nombre de la carte bancaire de la personne contactée par téléphone. Ici, le piège se referme sur la potentielle victime.

Les 4 premiers chiffres, tout le monde peut les connaitre. D’abord, la carte, une Visa ou une MasterCard ? Si le premier chiffre est 5, vous n’avez pas le propriétaire d’une carte Visa (4), mais d’une MasterCard. Les trois chiffres suivants correspondent à la « marque » de l’entreprise bancaire éditrice de la CB : BNPParibas : 974 ; Caisse d’épargne : 978/927 ; La Poste : 970 ; Crédit lyonnais : 972 ; Sofinco : 976 ; La Bred : 975 ; Société Générale 973 ; Auchan/Accord : 032 ; Crédit Mutuel : 132. Si le premier chiffre est 5, vous n’avez pas une carte Visa (4), mais MasterCard.

Bref, vous comprenez ainsi le tour de passe-passe qui pourrait en bluffer plus d’un. Prudence donc et retenez une seule chose : On ne donne aucune information par téléphone.

 

Chiffrement, cryptage, Cybersécurité, Fuite de données, Identité numérique, Social engineering, Vie privée

Une nouvelle faille vise le web

2 commentaires

Après OpenSSL, voici une nouvelle vulnérabilité mondiale qui vient toucher la sécurité informatique. Après Heartbleed, qui touchait les serveurs ayant implémenté le protocole TLS (OpenSSL), voici venir les modules de connexion basés sur les protocoles OAuth et OpenID. C’est un chercheur de Singapour qui a mis à jour la chose. Wang Jing, un étudiant local, a découvert que ces « outils » utilisés par Facebook, Google, Yahoo, Spotify, LinkedIn, Microsoft, PayPal, GitHub, QQ, Taobao, Weibo, VK, Mail.Ru, Sina, Sohu… pouvaient être malmenés.

A la base, OAuth et OpenID permettent à des sites Internet de partager nos informations (avec notre accord, ndr). Jing a découvert qu’en créant un site frauduleux, mais qui affiche une pop-up contenant l’accès légitime au site visé, un pirate pourrait intercepter le certificat de sécurité renvoyé par le site légitime. Google et Facebook indique être au courant et préparent un correctif qui ne sera pas lancé rapidement. Il faut tout réécrire !

Il n’est plus suffisant de protéger son propre site sans prêter attention à celui de ses voisins

« Comme l’Internet devient de plus en plus connecté, il n’est plus suffisant de protéger son propre site sans prêter attention à celui de ses voisins » explique Jing. « Le patch de cette vulnérabilité est plus facile à dire qu’à faire. Si toutes les applications tierces respectaient strictement les régles, alors il n’y aurait pas de place pour les attaques. Cependant, dans le monde réel, un grand nombre d’applications tierces ne le font pas pour diverses raisons. Cela rend les systèmes basés sur OAuth 2.0 ou OpenID très vulnérables. » Bref, nous ne cessons pas de le dire, lier des sites entre-eux, pour un « confort » dans l’authentification de votre compte est dangereux. En voici une nouvelle preuve criante !

Cybersécurité, escroquerie, Fuite de données, Social engineering, Téléphonie

Vishing : un coup de fil qui ne vous veut pas du bien

Un commentaire

Les escrocs s’attaquent à notre porte-monnaie via le téléphone. La gendarmerie nationale décide de lancer l’alerte auprès des Français, cibles potentielles de cette escroquerie qui gagne du terrain. Compte tenu de la méfiance des internautes face au phishing, les cybers fraudeurs s’attaquent maintenant à des victimes par l’entremise du vishing appelé aussi hameçonnage vocal. Le vishing est l’utilisation de la technologie VoIP (voix sur IP) dans le but de duper quelqu’un en lui faisant divulguer de l’information personnelle et/ou financière.

Les fraudeurs ont plusieurs méthodes d’attaques. « Un automate téléphonique est utilisé pour contacter les victimes potentielles en composant au hasard des numéros de téléphone fixe dans une région géographique déterminée » explique la Gendarmerie Nationale. Lorsque la victime potentielle décroche, un message préenregistré supposé provenir de sa banque la prévient que des opérations inhabituelles ont été récemment effectuées sur son compte bancaire. Elle est par la suite invitée à composer un numéro de téléphone généralement surtaxé pour vérifier la situation de ce dernier. Ce numéro correspond à une boîte vocale, un message demande alors à la victime de fournir ses identifiants bancaires (les 16 chiffres et la date de validité de sa carte bancaire). Ces informations pourront ensuite être utilisées pour effectuer des achats frauduleux sur Internet.

Une autre possibilité d’attaque par le biais d’un appel vers une victime potentielle. L’escroc se fait passer pour quelqu’un du département de sécurité Visa, Master Card ou simplement de son établissement bancaire. Elle lui signale que sa carte de crédit a été utilisée pour un achat plus que douteux et lui demande si elle est à l’origine de cette opération. « Sa réponse étant négative, elle lui attribue un numéro de contrat de fraude, donnant ainsi à l’appel un aspect réaliste, puis lui demande de communiquer les coordonnées de sa carte bancaire afin de vérifier qu’elle est toujours en sa possession. Une fois la conversation terminée, la personne ajoute n’hésitez pas à nous rappeler si vous avez d’autres questions et raccroche. » explique les militaires.

Pour se protéger, comme pour les cas de phishing web, il faut juste se dire que votre banque, votre FAI, les Impôts, la CAF… ne vous réclameront jamais vos informations bancaires par téléphone. Un commerçant « légitime » vous réclame vos données par téléphone, refusez. Dans tous les cas, votre signature (et un temps de réflexion dans le cas d’un achat, ndr) pour un achat est obligatoire. Les fraudeurs jouent sur une vulnérabilité psychologique du consommateur en créant en lui un stress et un faux sentiment d’urgence lié à la possibilité d’avoir été fraudé. « Si un message vous demande de rappeler tel numéro, ne le composez pas. Prenez le temps de retrouver le véritable numéro de téléphone qui vous a été donné par l’émetteur de votre carte de crédit et utilisez le » terminent les gendarmes. En cas de fraude, il ne vous reste plus qu’à alerte votre banque et déposer plainte dans les plus brefs délais, que ce soit auprès d’un NTECH (cyber gendarme) ou un OPJ dans un commissariat central habilité à prendre une plainte liée aux fraudes aux nouvelles technologies.

Attention à vos standards téléphoniques
Certains pirates informatiques spécialisés dans la téléphonie, baptisée les phreakers, s’intéressent aux standards téléphoniques et autres PABX. Un détail juridique devrait intéresser les administrateurs. Le site Legalis revient sur un arrêt du 25 mars 2014 de la cour d’appel de Versailles. Le tribunal a condamné une société de maintenance « pour avoir manqué à ses obligations contractuelles en ne donnant pas les moyens à son client d’éviter le piratage de communications téléphoniques dont il a été victime. Un nombre élevé d’appels injustifiés à destination du Timor oriental avait été constaté« . L’installation téléphonique avait été piratée grâce au mot de passe « usine » du système, soit les mythiques 0000.

Facebook, Fuite de données, ID, Identité numérique, Social engineering, Vie privée

Accès aux photos privées sur Facebook

8 commentaires

Il est possible (toujours au moment de la diffusion de cet article, ndr) d’accéder aux photographies privées via une petite manipulation dans les paramètres de Facebook. Pour accéder aux images privées des personnes qui ne sont pas vos ami(e)s, il suffit d’un seul petit clic de souris. Vous devez changer la langue utilisée dans votre compte en mettant « English US ». Option que vous trouverez dans « paramètres ». Il ne vous reste plus qu’à rentrer le nom de la personne que vous souhaitez « regarder » sans y avoir été invité. Pour éviter le regard des curieux, c’est aussi simple, ou presque. Il vous suffit de vous rendre dans le paramétrage de votre compte, et retirer TOUTES les identifications de vos photographies que vous ne souhaitez pas voir apparaitre. Les deux autres solutions :  maitriser ce que vous diffusez ou ne diffusez rien du tout !

Comment est-ce possible ? Tout simplement parce que la législation américaine n’est pas la même qu’en Europe. Bilan, changer de langue (sur Facebook, mais aussi sur consoles, smartphone, …) peut faire croire au système ainsi modifié que vous êtes installés dans le pays en question. Et la vie privée sur le sol américain n’a pas autant de « freins » qu’en Europe. Bilan, ce qui est « protégé » sur le vieux continent, l’est beaucoup moins sur les terres de l’Oncle Sam. Facebook veut aussi se positionner, de plus en plus, comme un moteur de recherche. Bilan, Graph Search et recherche globale rendent les informations, privées ou non, accessibles à qui sait les chercher, Facebook en tête. CQFD !

Arnaque, Cybersécurité, escroquerie, Facebook, Social engineering

De fausses vidéos de vos contacts Facebook… nus !

Le lien vidéo redirige les internautes vers un faux site Youtube où l’exécutable FlashPlayer.exe dissimule un cheval de Troie. Les Laboratoires antivirus Bitdefender alerte les utilisateurs d’une arnaque qui se déploie rapidement sur Facebook et qui promet aux internautes des vidéos de leurs contacts en tenue d’Eve (ou d’Adam). En cliquant sur le lien vidéo, les internautes sont redirigés vers un faux site Youtube où l’exécutable FlashPlayer.exe dissimule un cheval de Troie qui installe une extension sur le navigateur Internet. Ce malware est capable de poster à nouveau le scam sur Facebook, au nom de l’utilisateur, et de dérober ses photos et autres données Facebook. Ce scam se déploie à grande vitesse sur le réseau social et se propage en « taggant » tous les contacts des utilisateurs.

Plus de 6 000 sites en .tk ont été enregistrés pour relayer les actions malveillantes de cette arnaque. Pour éviter d’être détectés, les cybercriminels utilisent plusieurs variantes de leur message. Ainsi, on trouve « [nom de l’utilisateur] private video », « [nom de l’utilisateur] naked video » ou « XXX private video ». Une fois sur le faux site Youtube, les pirates peuvent rediriger ensuite les utilisateurs vers de faux sondages afin de gagner de l’argent, de fausses barres d’outils ou de faux convertisseurs de vidéos.

Afin de rendre ce scam encore plus crédible, les cybercriminels affichent un nombre de vues de  vidéo impressionnant : plus de 2 millions de personnes auraient cliqué sur le lien « Youtube » piégé. Les pirates ajoutent la mention « réservée aux personnes majeures » et mettent aussi automatiquement à jour la date de la vidéo, à chaque visite.

La technique n’est pas nouvelle. Les pirates utilisent, d’habitude, des actualités à fortes audiences (people, accidents, …) pour attirer les internautes. Ce qui est nouveau, viser la curiosité des amateurs de Facebook à « mâter » leurs ami(e)s.

Argent, Arnaque, Cybersécurité, Fuite de données, Paiement en ligne, Social engineering

Nouvelle arnaque Candy Crush via Facebook

Une page Facebook, associée à un site de phishing aux couleurs du célèbre jeu mobile et Web, propose aux joueurs des lingots d’or gratuits et d’autres bonus. Les Laboratoires antivirus Bitdefender ont découvert une nouvelle arnaque via Facebook concernant le jeu mobile et Web, Candy Crush. Une page Facebook associée à un site Web, dont l’URL pousse le mimétisme jusqu’à comporter le nom du jeu, propose aux joueurs des lingots d’or gratuits et d’autres bonus comme des vies supplémentaires. L’objectif de l’arnaque est de dérober les identifiants Facebook du joueur ainsi que quelques euros via un numéro surtaxé.

Étape 1 : connexion à Facebook
Bien que l’utilisateur soit déjà connecté, le site aux couleurs de Candy Crush demande aux joueurs de saisir de nouveau ses identifiants pour se connecter à son compte Facebook afin de bénéficier des lingots d’or gratuits.

Étape 2 : l’appel « gratuit »
Une fois les identifiants saisis, l’utilisateur doit appeler un numéro « gratuit » pour obtenir le code de confirmation. Bien que le mot « gratuit » et l’indication du prix (0,00€) soient précisés, il s’agit bien sûr d’un numéro surtaxé. Au lieu de lingots d’or et de vies supplémentaires pour son jeu favori, le joueur risque fort de se faire dérober ses identifiants Facebook et potentiellement l’accès à d’autres sites, s’il utilise un seul mot de passe pour plusieurs comptes, ainsi que quelques euros via le numéro surtaxé.

Comment se prémunir contre cette arnaque ?
Quelques indices peuvent permettre aux internautes d’identifier ces escroqueries :
·         Le protocole d’identification Facebook : Facebook dispose du protocole OAuth qui permet de s’identifier sur n’importe quel site en tant qu’utilisateur Facebook, lorsque ce dernier est connecté à son compte. Il n’y a donc aucune raison d’entrer à nouveau ses identifiants si l’utilisateur est déjà connecté ;
·         Le numéro surtaxé : une rapide recherche du numéro dans un moteur de recherche permet d’avoir une idée de qui est « réellement » au bout du fil.

Data Security Breach conseille aux utilisateurs de rester vigilants face à des offres un peu trop alléchantes pour être honnêtes, et de vérifier par deux fois avant de saisir leurs identifiants sur un site Internet ou d’appeler un numéro inconnu.

Entreprise, Fuite de données, Social engineering

Quand l’escroc informatique se prend pour un mentaliste

Le CERT-FR, cellule gouvernementale en charge de la sécurité informatique des infrastructures étatiques, a constaté une recrudescence de techniques d’ingénierie sociale (Social Engineering) où un escroc se fait passer pour un agent appartenant à un service de support technique.

Comme le rappel le CERT France, deux méthodes principales sont employées pour contacter une victime potentielle. D’abord l’appel à froid « cold call ». L’escroc appelle directement sa victime en prétendant être le technicien d’un service de support informatique. Il utilise alors des techniques d’ingénierie sociale en expliquant à la victime que son ordinateur est sujet à des comportements suspects. Une technique vieille comme le monde. Kevin Mitnick, hacker mythique, s’en était fait une spécialité dans les années 80. En janvier dernier, une société du sud de la France se voyait « détourner » pas moins de 17 millions d’euros via l’ingénierie sociale.

Autre possibilité, la publicité en ligne. Certains pirates utilisent les moteurs de recherche pour référencer de fausses entreprises de support informatique. Un utilisateur à la recherche d’une solution à un problème technique pourra être tenté de rentrer en contact avec ces fausses sociétés. La victime mise en confiance est incitée à payer pour une assistance ou un produit. Dans certains cas, le prétendu technicien peut faire installer à l’utilisateur ciblé des logiciels de prise de contrôle à distance (tel que LogMeIn) sur ses équipements.

Depuis peu, le même type d’escroquerie a été constaté pour les terminaux mobiles. Le manque de connaissances, de formations, d’informations et la naïveté des victimes permet aux voleurs de prendre le contrôle de l’ordinateur, de la connexion ou d’un terminal. Nous vous parlions, l’année dernière, de faux antivirus commercialisés en Belgique. « Un technicien de support informatique légitime, explique le CERT France, n’est pas censé amener l’utilisateur à installer un quelconque outil supplémentaire sur un poste de travail, ni à lui demander d’identifiants et de mots de passe d’authentification« .

Pour s’en protéger, il suffit de faire preuve de la plus grande prudence vis-à-vis des appels téléphoniques provenant de services de support alors que ceux-ci n’ont pas été sollicités. Ne pas hésiter à être « paranoïaque et solliciter, dans un cadre professionnel, uniquement les services de supports internes à l’entreprise ou à l’organisation.

 

 

Arnaque, Cybersécurité, Fuite de données, Identité numérique, Social engineering, Vie privée

Méfiez-vous de l’ingénierie sociale, l’outil préféré des escrocs

L’ingénierie sociale est sournoise car elle exploite notre tendance naturelle à vouloir nous rendre utile. Les escrocs peuvent également jouer sur les émotions humaines, telles que la peur et la compassion. Voici quelques astuces employées par les escrocs pour soutirer des informations confidentielles, et comment vous en protéger. Vous êtes au bureau et un électricien vient résoudre un problème, ou votre téléphone sonne et c’est votre FAI qui vous informe d’un problème avec votre compte.

C’est dans la nature humaine de coopérer, non ? Vous laissez l’électricien entrer et le laissez faire ce qu’il doit faire. Vous répondez aux questions posées par le représentant du service clientèle afin de vérifier votre identité. Malheureusement, au lieu de vous rendre utile, vous êtes désormais victime de l’ingénierie sociale. L’électricien a installé un routeur pirate ou des caméras de surveillance dans votre bureau. Le faux représentant du service clientèle connaît vos données personnelles, les informations de votre compte ou encore votre numéro de carte bancaire.

L’ingénierie sociale désigne les techniques utilisées par des individus pour conduire d’autres individus à effectuer certaines tâches ou révéler certains types d’information. Les cybercriminels et les voleurs profitent du désir humain naturel de se rendre utile et de croire ce que les gens disent. Ces escrocs n’ont pas besoin d’employer de techniques de piratage sophistiquées ni de logiciels malveillants exploitant une vulnérabilité logicielle, quand il leur suffit simplement d’envoyer une pièce jointe malveillante par email et demander au destinataire d’ouvrir le fichier.

L’ingénierie sociale n’est pas quelque chose de nouveau ; les escrocs et leurs escroqueries élaborées ont existé de tout temps. Ce qui est nouveau, c’est la quantité d’information que les escrocs peuvent recueillir sur leurs victimes ciblées avant même d’attaquer. Grâce aux réseaux sociaux, ils peuvent trouver toutes sortes d’information, par exemple le lieu de travail de leurs victimes ciblées, les noms de leurs collègues, l’école où elles ont étudié, et même le dernier endroit où elles sont parties en vacances. Ils peuvent déterminer l’organigramme de l’entreprise ou les types de logiciels qu’elle utilise. Ils peuvent exploiter toutes ces informations pour convaincre une victime qu’ils disent la vérité.

Il est dans la nature humaine d’aider
Defcon, la plus grande conférence de pirates, organise tous les ans une compétition de type « capture du drapeau » en s’aidant de l’ingénierie sociale. Les participants ont quelques semaines pour étudier une société ciblée. De grandes entreprises telles qu’Apple, Johnson & Johnson et d’autres, ont été ciblées les années précédentes. Le jour de la compétition, les concurrents entrent dans une cabine, appellent une personne de la société, et tentent de lui faire révéler des « drapeaux », tels que la version du navigateur utilisé dans l’entreprise ou le type de logiciel installé sur son ordinateur. Les candidats prétendent généralement être des collègues d’un autre bureau essayant de recueillir des informations pour le PDG, et avoir vraiment besoin d’aide parce qu’ils sont complètement dépassés. La plupart du temps, les gens veulent aider et proposent librement des informations.

La peur est lucrative
Les escrocs sont passés maîtres de l’alarmisme. Une escroquerie courante consiste à appeler de la part d’un service d’assistance technique ou similaire en raison d’un problème sur l’ordinateur de l’utilisateur. L’appelant demande à l’utilisateur de taper quelques commandes standard sur l’ordinateur et explique que le résultat obtenu témoigne de la présence de programmes malveillants ou d’autres problèmes graves. À ce stade, l’utilisateur est convaincu que quelque chose ne va pas bien et communique son numéro de carte bancaire au « représentant » pour résoudre le problème.

Vérifiez vérifiez, et vérifiez encore
Si quelqu’un appelle en prétendant être d’une qualité officielle, demandez des preuves. Demandez un numéro de poste afin de pouvoir rappeler cette personne. Si la personne prétend être un employé d’un autre bureau ou d’un fournisseur, demandez une information vous permettant de confirmer son identité. S’il s’agit d’un policier, demandez son numéro de badge. Si ces personnes sont légitimes, elles vous fourniront les informations demandées sans hésitation. Ne cédez pas à la pression « vous avez quelques minutes pour agir ». Vous avez toujours le temps de réfléchir et de vérifier.

Méfiez-vous toujours des situations dans laquelle vous êtes activement contacté au sujet d’un problème. Aucune entreprise légitime ne vous demandera votre mot de passe, et le gouvernement enverra toujours une lettre pour les communications officielles. Et si vous recevez soudainement un appel d’un ami ou d’un parent prétendant être bloqué dans un pays étranger et ayant besoin que vous leur envoyez de l’argent au plus vite, ne leur faite pas simplement confiance parce qu’il ou elle connaît le nom de vos frères et sœurs ou le nom de votre chien.

Soyez conscient de ce que vous communiquez en ligne, et réglez les paramètres de contrôle de votre confidentialité. Il existe certaines informations que vous ne devriez jamais communiquer en ligne, telles que votre mot de passe, les réponses aux questions de sécurité (comme le nom de jeune fille de votre mère) ou votre numéro de sécurité sociale. Vous pouvez toujours vous rendre utile, mais prenez le temps de douter et de tout évaluer. Une petite dose de scepticisme n’a jamais fait de mal, et peut faire une énorme différence lorsqu’il s’agit de cybercriminalité. (Par Thierry Karsenti, Directeur Technique Europe – Check Point Software Technologies)

 

Argent, Arnaque, Cyber-attaque, escroquerie, Piratage, Social engineering, Twitter, Vie privée

Piratage d’une compte Twitter estimé à 50.000 euros

Un internaute, propriétaire du compte Twitter N piraté via un social engineering bien préparé. Nous vous en parlons très souvent, le social engineering est la base du piratage informatique. Connaitre sa cible, son environnement, avant de s’attaquer à son informatique. C’est ce que vient de vivre l’ancien propriétaire du compte Twitter @N, Naoki Hiroshima. Son espace de micro blogging a été, d’après ses dires, très souvent sollicités pour être racheté. Des marketeurs lui auraient même proposé 50.000 dollars. Bref, une cible pour les pirates. L’un d’eux a pris la main sur la vie numérique de cet ancien de chez Google. L’idée, lui voler son compte @N. La méthode d’attaque : compromettre le Paypal, Facebook et GoDaddy du créateur de l’application Cocoyon et développeur d’Echofon. Le pirate a expliqué s’être fait passer pour un employé de Paypal pour récupérer les données bancaires de Naoki et récupérer quatre chiffres qui auraient donné l’occasion, ensuite, de valider son identité chez GoDaddy. « C’est difficile de dire ce qui est le plus choquant, le fait que PayPal donne les quatre derniers chiffres du numéro de ma carte de crédit par téléphone au pirate ou que GoDaddy l’accepte comme moyen de vérification ». Naoki a du fournir son compte Twitter @N au pirate afin de récupérer son compte, et ses sites web, gérés par GoDaddy. Depuis, Naoki a ouvert un nouveau Twitter baptisé @N_is_stolen, qui se traduit par N a été volé. (The Verge)

Cyber-attaque, Cybersécurité, Facebook, Fuite de données, Linkedin, Social engineering, Twitter

Les réseaux sociaux, « faille insidieuse » des cyberattaques ?

Les cyberattaques sont plus sophistiquées que jamais et les techniques de hacking ne cessent d’évoluer, de se renouveler. Aujourd’hui, force est de constater que la menace ne provient plus exclusivement de l’extérieur. Au sein d’une organisation, les utilisateurs sont à la fois victimes et potentiels « cybercriminels » notamment dans le cadre de leur usage des réseaux sociaux.

Les bonnes pratiques de l’usage des réseaux sociaux au bureau
Afin de réduire les risques d’attaques et de renforcer la sécurisation des données, les entreprises doivent former les employés aux bonnes pratiques de l’usage des réseaux sociaux au bureau ; de nombreux utilisateurs ont un comportement à risque par manque de sensibilisation et/ou parce qu’ils ne mesurent pas les dangers qu’ils font prendre aux organisations. Pourtant, les menaces les plus importantes proviennent surtout des sites professionnels tels que LinkedIn ou Viadeo, qui sont des sources intarissables d’informations à très forte valeur ajoutée sur les entreprises pour les hackers.

Ceux-ci ont accès en « libre-service » à un très grand nombre d’informations sur l’activité de l’entreprise qui leur permettent de récupérer des données sensibles. Les réseaux sociaux professionnels sont, en effet, le point d’entrée à des informations sur les employés, leur rôle dans l’entreprise, leurs fonctions quotidiennes, voire les nombreuses informations sur les outils de sécurité utilisés et les problématiques auxquelles ils ont été exposés. Les hackers utilisent actuellement l’ensemble des vecteurs à leur disposition : ils peuvent également pirater des informations professionnelles via un terminal personnel lorsque l’employé utilise ses propres outils (BYOD) ou travaille de chez lui à partir de son ordinateur personnel. Aujourd’hui, les brèches de sécurité sont progressives et permettent aux pirates de s’introduire dans les systèmes informatiques de la manière la plus discrète possible pour collecter le maximum d’informations et accéder petit à petit aux données les plus critiques.

Le Community Manager, danger insoupçonné
Le Community Manager a un rôle clé dans une entreprise puisqu’il gère son image et sa présence sur les réseaux sociaux. Il ne s’agit pas tant de ses privilèges (qui sont finalement peu élevés) que de son impact sur l’image et la communication officielle de l’entreprise sur les médias sociaux. Le détournement de ce type de compte est aujourd’hui une cible privilégiée de groupes cherchant à nuire à l’image d’une société ou à profiter de sa notoriété pour passer des messages non sollicités ou diffuser des informations confidentielles. Par ailleurs, lorsqu’un salarié quitte l’entreprise, il doit rendre ses clés, son badge mais les employeurs ne pensent pas nécessairement à changer ses mots de passe. Or, un Community Manager ou autre employé mécontent qui quitte l’entreprise emportant avec lui identifiants et mots de passe pourrait également lui nuire sans difficultés – tout salarié d’une entreprise est susceptible de conserver ses données de connexion après son départ de la société.

Prenons l’exemple récent de l’affaire PRISM, il ressortirait que l’ancien analyste de la NSA, Edward Snowden, aurait accédé à des informations extrêmement confidentielles grâce aux identifiants de connexion de plusieurs de ses collègues, qu’il aurait convaincu de lui fournir en prétextant un travail qu’il devait faire, en tant qu’administrateur du système informatique. Ce type de comportements peut avoir des conséquences catastrophiques sur l’économie d’une entreprise et engendrer des dommages collatéraux durables (perte de clients, impact sur le cours des actions en bourse pour les sociétés cotées, retrait d’investisseurs/business angels…).

De l’importance d’appliquer et transmettre les bonnes pratiques
Les cyberattaques sont une réalité pour tous et les entreprises comme les employés doivent prendre conscience que chaque individu est une porte d’accès aux données sensibles d’une société. Pour ce faire, les organisations peuvent appliquer plusieurs règles simples et peu coûteuses afin de renforcer la sécurisation des informations :

[dsb] Sensibiliser les utilisateurs au fait que le risque existe et  qu’ils doivent adopter un comportement de méfiance vis-à-vis d’informations en provenance de l’extérieur, mais également de l’intérieur – le fait de partager un simple mot de passe avec un collègue, peut aussi être considéré comme un comportement à risque.

[dsb] Identifier la source et le parcours des hackers afin de paralyser l’attaque et le retrait de données sensibles.

[dsb] Mettre en place des solutions de détection pour alerter les personnes responsables de l’entreprise qu’un compte sensible est en cours d’utilisation (peut-être frauduleuse) afin de favoriser une intervention rapide.

[dsb] Identifier et sécuriser les comptes à privilèges au sein des entreprises, premières cibles des attaquants puisque souvent méconnus et négligés.

En conclusion, pour parer au maximum à ces « failles humaines », employés et entreprises doivent redoubler de vigilance pour un usage plus réglementé des réseaux sociaux professionnels et privés. Commentaire d’Olivier Prompt, Regional Sales Engineer, Northern Europe & Africa chez Cyber-Ark Software pour Data Security Breach.