Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Kaspersky : Nous savons ce que vous avez fait cet été…

septembre 2010 par Kaspersky

En combinant astucieusement différents services Web, la très virtuelle cybercriminalité entre de plain-pied dans le monde réel. En effet, ces services peuvent être utilisés pour suivre à la trace les individus qui les fréquentent. Aussi faut-il, désormais, se montrer très prudent quant à l’usage de tous ces réseaux sociaux qui enregistrent les allées et venues des utilisateurs.

Les réseaux sociaux comme Facebook et Twitter ont opté pour une approche très simple : ils donnent à leurs membres une méthode basique pour indiquer à leurs amis, et à tout moment, ce qu’ils font et ce qu’ils pensent. Foursquare[1] n’est certes pas encore aussi populaire, mais le service enregistre déjà plus de 3 millions d’utilisateurs dans le monde. Lui aussi permet d’envoyer à ses amis de courts messages. Ces derniers ne reflètent plus l’état d’esprit de l’utilisateur mais sa position géographique. Quand un utilisateur Foursquare se rend dans un café par exemple, il se signale au service qui transmet alors à ses amis le message comme quoi « Friend X has checked in at Cafe Y » (votre ami X s’est signalé au café Y). L’idée anodine derrière cette communication est de permettre à un éventuel « ami », présent dans les parages, de pouvoir vous rejoindre. Pourtant, cette information est tout sauf anodine !

« Fraude, entrez donc... »

Le site « Please Rob Me[2] » (S’il vous plaît, cambriolez-moi) a récemment démontré comment l’information exponentielle des réseaux sociaux peut être exploitée dans la vie réelle. Le site combinait intelligemment les données Foursquare et les messages Twitter. Ceux qui accédaient au site pouvaient ainsi rapidement déterminer où vivaient les personnes fréquentant ces réseaux sociaux et s’ils étaient ou non actuellement chez eux. Bref, un véritable laissez-passer pour tous les Arsène Lupins en herbe.

Heureusement, les auteurs de ce site ne l’avaient établi qu’à des fins démonstratives pour mettre en lumière les problèmes inhérents aux réseaux sociaux et aux pratiques de leurs utilisateurs. Ils ont interrompu son service après qu’il ait reçu une large couverture médiatique. Mais la conclusion de tout ce tapage, reste que des renseignements en apparence anodins et conviviaux, publiés via les réseaux sociaux, peuvent être combinés pour constituer une menace des plus réelles.

Facebook sait où vous êtes

D’autant que Foursquare n’est pas le seul service de géolocalisation. Google offre un service similaire dénommé Latitude (notamment disponible sur les mobiles). Moins réputé, Gowalla en est un autre exemple. Aux USA, Facebook vient de lancer son propre « géo-service » dénommé Places. En Allemagne, Orte offre des fonctionnalités très similaires à Foursquare : les utilisateurs peuvent se géolocaliser à certains endroits et leurs allées et venues sont automatiquement postées sur Facebook sous forme de mise à jour du Statut. Dans l’hexagone, le service de la start-up « Plyce.com » est souvent présenté comme un « Foursquare à la française ».

Le billet qui annonçait le lancement de Places[3] sur le blog de Facebook est d’ailleurs très révélateur : il s’intitule « Qui, Quoi, Quand et maintenant… Où ». Non seulement vos amis Facebook savent qui fait quoi et quand ça se passe, mais ils savent aussi désormais où ça se passe. Bien évidemment, l’application iPhone a été mise à jour pour refléter cette nouvelle fonctionnalité, le « Check In » (autrement dit la signalisation de là où l’on se trouve) n’ayant de sens qu’en situation de mobilité.

Des risques nombreux et variés

Ceux qui révèlent volontairement des bribes d’informations sur eux-mêmes à divers endroits sur Internet doivent aussi assumer que quelques débrouillards puissent combiner ces informations pour reconstituer un puzzle plus complet de leur personnalité. Si vos adresses emails, numéros de téléphones, hobbies et autres centres d’intérêts sont publics sur Internet, il n’est guère surprenant que vous soyez bombardé de publicités. Certes, ces données ne sont pas intentionnellement mises à disposition des regards indiscrets et bien des utilisateurs pensent les réserver à leurs seuls amis proches. Mais les paramètres par défaut des réseaux sociaux ne sont tout simplement pas suffisamment stricts en matière de confidentialité.

Les réseaux sociaux sont de plus en plus fréquemment sujets aux attaques par « Phishing » (hameçonnage) qui permettent de dérober mots de passe ou identifiants d’accès. Quand ces données sont acquises, l’usurpation d’identité suit logiquement. Par exemple, on ne dénombre plus le nombre de cas où des hackers, après avoir volé l’identité d’un internaute, ont pris le contrôle de son compte puis ont feint une urgence et réclamé à « leurs amis » une aide financière urgente. Un site Web comme Facebook, qui accueille près de 500 millions d’utilisateurs, est implicitement perçu comme « sûr et crédible » par bien des internautes. Les escrocs en profitent pour publier des messages contenant des liens vers des sites « pervertis ». Ces sites sont ensuite utilisés pour propager des programmes malveillants. L’exemple typique n’est autre que le ver Koobface qui s’est répandu par l’intermédiaire de Facebook et MySpace. Des messages, invitant les utilisateurs à regarder une vidéo, ont été envoyés depuis des comptes préalablement piratés. Lorsque les amis de ces comptes ont cliqué sur le message, ils ont été redirigés vers des pages Facebook ou MySpace factices où on les invitait à mettre à jour leur lecteur Flash. Le téléchargement n’était pas le lecteur attendu mais bel et bien un « ver » qui trouvait ainsi le moyen d’étendre son emprise. Parfois, les malwares sont également dissimulés dans les fameuses « applications » hébergées par ces réseaux sociaux. Les « mini-jeux » auxquels les utilisateurs peuvent jouer en réseau en sont d’excellents exemples. Le problème, c’est que ces applications proviennent de tierces parties dont les normes de sécurité ne correspondent pas à celles des réseaux sociaux !

Comment se protéger.

Évidemment, une protection antivirale à jour associé à un pare-feu (comme Kaspersky Internet Security 2011 ou Kaspersky PURE) est indispensable. Les mises à jour automatiques de Windows doivent aussi être activées. De même, les programmes installés ainsi que leurs extensions associées doivent être mis à jour régulièrement. Dans le contexte particulier des réseaux sociaux, il est possible de définir en quelques clics des paramètres de sécurité plus stricts que ceux proposés par défaut. « Scan for Privacy[4] » par exemple, permet de vérifier les paramètres de son compte Facebook et met en évidence ses faiblesses.

Quelques conseils supplémentaires :

* Abstenez-vous de publier des données personnelles. Après tout, même vos meilleurs amis n’ont pas besoin d’obtenir votre numéro de téléphone via Facebook, ils l’ont probablement déjà ! Vous devez également faire preuve de prudence chaque fois que vous vous apprêtez à publier des informations sur vos allées et venues.

* Choisissez scrupuleusement vos « amis », vos contacts. Inutile d’ajouter tout le monde comme ami ! Si vous ne voulez pas offenser leur patron en refusant son invitation, souvenez-vous qu’il est possible de créer plusieurs listes d’amis avec des droits d’accès différents !

* Choisissez des mots de passe solides et surtout différents pour chaque réseau social.

* Gardez à l’esprit que les réseaux sociaux ne sont vraiment pas l’endroit idéal pour publier vos informations confidentielles.

* Enfin, soyez vigilent, même si les liens semblent être directement envoyés par un ami de confiance. Au moindre doute, ne cliquez pas dessus !


Quelques liens utiles :

http://www.securelist.com/en/analysis www.kaspersky.com

[1] www.fourquare.com

[2] www.pleaserobme.com

[3] http://blog.facebook.com/blog.php?p...

[4] www.reclaimprivacy.org




Voir les articles précédents

    

Voir les articles suivants