Timeline de Facebook : Une aubaine pour les pirates

Selon Chet Wisniewski, chercheur en sécurité chez Sophos, la fonction Timeline de Facebook va permettre à des cyber-criminels et autres de trouver plus facilement des données personnelles sur les utilisateurs qui fréquentent le réseau social, informations qu'ils pourront ensuite utiliser pour mener des attaques malveillantes et voler des mots de passe.

TimeLine, la fonctionnalité tout juste dévoilée par Facebook aux développeurs, et que l'entreprise prévoit de déployer dans quelques semaines, résume, sur une seule page, les événements passés importants des utilisateurs. Selon Mark Zuckerberg, le PDG de l'entreprise, Timeline, c'est « l'histoire de votre vie. » Cet aspect n'a pas échappé aux experts de l'éditeur britannique Sophos spécialisé dans la sécurité. « Timeline facilite énormément la collecte d'informations sur les personnes, » a déclaré Chet Wisniewski. «Certes, ces données existent déjà actuellement sur Facebook, mais elles ne sont pas accessibles aussi facilement. »

« Les cybercriminels cherchent souvent à dénicher des détails personnels sur des sites de réseautage social pour élaborer des attaques ciblées, » fait remarquer le chercheur de Sophos, « et Timeline va leur mâcher le travail. » D'autant que « Facebook encourage les gens à combler les vides dans l'histoire de leur vie», a constaté Chet Wisniewski. Celui-ci fait notamment référence à l'outil qui demande aux utilisateurs d'ajouter des détails aux sections laissées vides. « Les gens utilisent souvent des éléments de leur vie personnelle pour élaborer leurs mots de passe ou encore définir la question de sécurité que certains sites et services demandent pour réinitialiser les mots de passe.

Plus il y a de détails dans un récit, plus les gens se mettent en danger, » a encore estimé le chercheur. « Vous vous souvenez du hack du compte de Sarah Palin, l'ancien gouverneur de l'Alaska? » a-t-il demandé. « Le pirate avait trouvé en ligne les réponses aux questions de sécurité imaginées par l'ancien gouverneur, » a-t-il ajouté. Il avait fallu seulement 45 minutes à l'ancien étudiant de l'Université du Tennessee qui s'était vanté de l'exploit - il a été condamné pour de multiples chefs d'inculpation par un tribunal fédéral l'an dernier - pour réinitialiser le mot de passe du compte de messagerie Yahoo de Sarah Palin.

Des informations importantes pour les pirates

« Les pirates peuvent aussi utiliser ce qu'ils trouvent sur Facebook et ailleurs pour élaborer des emails convaincants dans lesquels ils peuvent inclure des logiciels malveillants ou des liens vers des sites malveillants, » a déclaré Chet Wisniewski, même si l'individu n'est pas forcément la cible. «Le pirate peut chercher à viser l'entreprise pour laquelle travaille un individu particulier, comme ça a été le cas pour les salariés de RSA Security », a-t-il déclaré, en rappelant les courriels envoyés à des salariés ordinaires de cette entreprise plus tôt cette année, accompagnés de feuilles de tableur Excel infectées par des logiciels malveillants qui ont permis aux pirates de s'introduire dans le réseau de RSA. Grâce à cela, les criminels ont pu siphonner les systèmes de RSA et voler des informations confidentielles sur sa technologie d'authentification par tokens SecurID.

D'autres individus, qui ne sont pas des pirates au sens strict, pourraient utiliser Timeline pour déterrer rapidement des informations sensibles qu'ils peuvent exploiter, » a déclaré Chet Wisniewski. «Par exemple, une personne malveillante pourrait utiliser Timeline pour collecter des informations en vue de vous harceler, ou un collègue de travail en concurrence sur le plan professionnel pourrait les utiliser contre vous, » a-t-il ajouté. « Plus vous vous employez à compléter votre histoire - et nous avons été conditionnés à remplir des formulaires - plus il sera facile à une personne mal intentionnée de collecter des renseignements vous concernant, » a déclaré le chercheur.

[[page]]

Même si les paramètres actuels de confidentialité de Facebook vont s'appliquer à la Timeline - les utilisateurs pourront décider de ce que chaque ami pourra voir - et même si la Timeline peut être éditée à tout moment pour supprimer un évènement gênant, le chercheur semble assez pessimiste quant à la capacité de décision des utilisateurs. « Vous pouvez nous taxer de paranoïaques ou nous reprocher d'être trop prudents - mais nous sommes payés pour réfléchir aux dangers possibles. Et, pour 99% des individus, ce facteur danger ne semble même pas traverser leur esprit, » a déclaré Chet Wisniewski.

Dans un sondage réalisé par Sophos sur son site Internet, près de 50% des personnes ayant répondu ont convenu que la Timeline de Facebook les inquiétait, et environ 17% ont trouvé l'idée séduisante ou dit qu'ils s'y adapteraient. Chet Wisniewski a admis que le sondage ne reflétait probablement pas l'opinion de la plupart des utilisateurs de Facebook. « Ces utilisateurs ont répondu volontairement au sondage et ils sont suffisamment préoccupés par la sécurité pour avoir consulté notre site internet. »