« Les réseaux sociaux sont vraiment diaboliques ». Selon Alan Lustiger, directeur de la sécurité de l'information chez Gain Capital Holding, société de commerce en ligne, les réseaux sociaux constituent une ressource majeure pour les hackers essayant de s'approprier des données d'entreprises ou de s'attaquer à leurs réseaux internes. Il explique cela en sept points.

1. Rechercher sur ces sites les noms des entreprises renvoie à des organigrammes partiels, et il s'agit donc d'un bon début pour préparer une attaque via ces réseaux.

2. Utiliser les adresses email glanées sur ces sites peut fournir des informations cruciales. Si le système de nom de l'adresse (initiale du prénom suivie du nom, ou prénom, tiret, nom par exemple) est identique au système d'attribution de mots de passe, la sécurité est compromise. « Vous êtes alors à mi-chemin de pirater leur nom d'utilisateur et mot de passe », affirme-t-il.

3. Les informations publiées sur les réseaux sociaux donnent des indices pour déterminer les mots de passe : nom des enfants, équipes préférées, goût alimentaires...

4. Des faux concours prenant place sur ces sites et demandant toutes sortes d'informations peuvent contribuer à un changement du mot de passe par les pirates. Les noms de l'école, de l'animal de compagnie ou de l'oncle préféré donnent les réponses aux questions secrètes par lesquelles il est possible de modifier le mot de passe.

5. Les URL réduites utilisées sur Twitter peuvent mener n'importe où, et il n'y a aucun indice dans le nom de l'adresse qui aiderait à deviner cette redirection. Un site malveillant peut très bien se trouver à l'arrivée.

6. Exploiter les forums et sites de recherches d'emploi peut informer sur des embauches IT dans des entreprises spécifiques. Les attaquants pourraient alors obtenir un entretien au cours duquel ils rassembleraient des détails sur l'infrastructure réseau de cette société en discutant de leurs expériences et du travail éventuel.

7. L'utilisation du GPS par Google Latitude publie le lieu où l'on se trouve, mais révèle par là même les endroits où l'on n'est pas. Les individus cherchant une excuse pour pénétrer dans l'entreprise peuvent faire usage de cette information en se rendant sur place et demandant à voir quelqu'un alors qu'ils savent que la personne n'est pas là.

Dans cette dernière situation, ils peuvent demander au réceptionniste d'imprimer un document dont ils auraient besoin pour leur entrevue avec la personne absente. Formé à l'accueil et à rendre service, le réceptionniste pourrait insérer une clé USB dans leur ordinateur pour procéder à l'impression, et laisser malgré lui entrer un malware créant une porte dérobée, volant des données ou bien propageant un code destructeur et ce, sans laisser de traces, explique-t-il.

Des risques difficiles à estimer

D'autres astuces réalisables « en personne » via des connaissances acquises sur les réseaux sociaux peuvent être dangereuses. Offrir un emploi dans l'entreprise et donner l'accès au réseau interne aux attaquants est un risque réel. Le meilleur moyen de bloquer de tels risques de sécurité reste d'éduquer les employés aux réseaux sociaux et d'étendre cette formation à leur activité personnelle sur ces derniers, selon Alan Lustiger. « En quoi un site web a-t-il besoin de connaître votre date d'anniversaire ? », déclare-t-il, indiquant que cela peut être utilisé pour déterminer et changer le mot de passe dans le but de voler l'identité. Les équipes de sécurité internes devraient prendre à leur charge de vérifier, par échantillonage, que les informations postées par les employés sur les réseaux sociaux ne risquent pas d'être utilisées pour porter atteinte à l'entreprise. Mais même dans ce cas, elle peut toujours être vulnérable. « C'est virtuellement impossible de se prémunir face à un attaquant ayant passé suffisamment de temps à se préparer en scrutant les réseaux sociaux ».

Crédit Photo : D.R.