Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Louis-Alexis Brenac, Lexsi : Sexe, Sécurité & Cloud (3/3) : Le « Celebgate », place aux dommages collatéraux !

décembre 2014 par Louis-Alexis Brenac, consultant cybersécurité chez Lexsi

A l’aube du 1er jour, les photos de nues furent dévoilées. Dès le 2ème jour, on nomma ce scandale « Celebgate ». Puis le 3ème jour, Apple communiqua. Enfin le 4ème jour, la sécurité d’iCloud fut renforcée… Bref, le 7ème jour, les escrocs se défoulèrent : phishing, canulars, clichés volés sur Snapchat… Tout l’arsenal du parfait petit truand déployé dans la foulée directe de cette affaire. « Et ce n’est que le commencement » qu’ils disaient…

Attention au phising !

Une affaire surmédiatisée comme celle-ci, c’est du pain béni pour les hackers visant de nouvelles cibles potentielles ! Au cours du mois de septembre, selon Symantec, des pirates ont bien profité de la sensibilisation des utilisateurs aux nouvelles règles de sécurité récemment annoncées par Apple pour mener une campagne active de « phishing ».

La recette reste invariablement la même : de faux messages d’alertes envoyés aux abonnés d’Apple pour les prévenir d’un usage soi-disant frauduleux de leur compte iTunes. Les faux courriels mentionnaient une adresse IP en Russie à partir de laquelle un achat suspect aurait été réalisé. Pour éviter une utilisation soi-disant abusive du compte iTunes, les faux messages demandaient aux utilisateurs de cliquer sur un lien dans le cas où ils n’étaient pas à l’origine de l’achat. Ce lien redirigeait les victimes sur un faux site imitant la page d’identification d’Apple où ils ne leur restaient plus qu’à entrer leurs identifiants et mots de passe. Une méthode toujours aussi simple et efficace !

Le canular « selfies d’Emma Watson »

Autre conséquence plus sournoise, des pros du canular ont aussi profité de cet abatage médiatique pour lancer une campagne marketing pour le moins étrange…

Que s’est-il passé ? Un jour, un mystérieux site web « emmayouarenext.com » apparaît avec un compte à rebours, laissant entendre une prochaine publication de photos nues de l’actrice Emma Watson. Le lien avec son récent discours féministe prononcé à l’ONU est immédiatement établi et l’information se diffuse dans les médias et dans les réseaux sociaux.

Mais surprise, quand le compteur arrive à zéro, aucune photo à l’horizon ! Seulement un message d’une certaine société de marketing, « Rantic », expliquant « avoir été engagée par les agents des célébrités pour attirer l’attention sur ce problème dégoûtant » qui démontre que « l’Internet doit être censuré ». L’entreprise milite pour la fermeture de « 4chan », le forum à l’origine du scandale des photos de célébrités, et invite les internautes à faire pression sur Barack Obama en lui envoyant cette lettre :

Seulement voilà, la fameuse lettre à Barack Obama ne mène en réalité nulle part lorsqu’on clique dessus. Et quand on effectue une recherche sur « Brad Cockingham », le soi-disant PDG de Rantic, on ne trouve finalement pas grand-chose : tout au plus un compte Twitter créé quelques jours auparavant, ne postant que des messages très énigmatiques, pour la plupart faux. Et pour cause, la société Rantic n’est pas réelle !

Le but de cette manœuvre ? Pas si évident… La théorie la plus probable serait que le site 4chan lui-même, ou du moins un collectif anonyme lié à 4chan connu sous le nom de SocialVEVO, ait monté une fausse campagne pour fermer 4chan en s’appuyant une fausse agence. Une technique de « trolling » (un message cherchant délibérément à provoquer une polémique) voulant faire apparaître 4chan comme une victime de cette affaire.

Le phénomène s’étend : Snapchat, des photos pas si éphémères !

Malheureusement, ce phénomène de diffusion de photos très intimes ne s’arrête plus aux célébrités mais s’étend progressivement au commun des mortels. Et on ne parle pas que d’iCloud mais d’autres services populaires d’hébergement et des réseaux sociaux : Dropbox, Snapchat…

Prenons Snapchat justement qui a fait la une il y a peu dans un nouveau scandale similaire à l’affaire des célébrités mais autrement plus grave : le 10 octobre dernier, près de 200000 photos et vidéos d’anonymes envoyées sur Snapchat, souvent à caractères pornographiques, se retrouvent sur le site 4chan (encore lui !). Même si le ménage a de nouveau été réalisé rapidement, bon nombre d’internautes ont eu le temps de télécharger une compilation de ces clichés. Après le « fappening » d’Apple, place au « Snappening ».

Bref rappel sur le principe de Snapchat : cette application permet de s’échanger des messages, photos et vidéos de façon éphémère Les informations reçues sont censées s’effacer au bout de quelques secondes, favorisant un sentiment d’impunité qui se manifeste souvent par l’envoi de photos ou vidéos osées, des « sextos ». Snapchat est rapidement devenu un des services actuels les plus populaires surtout chez les jeunes (la société revendique sur ses 100 millions d’utilisateurs la moitié ayant moins de 17 ans). Autant dire qu’un grand nombre de photos volées mettent en scène des mineurs ; un délit à caractère pédopornographique passible de plusieurs années de prison en France et qui met l’entreprise dans une position délicate.

Snapchat n’en est malheureusement pas à sa 1ère affaire de ce genre : 4 millions de numéros de téléphone et d’identifiants avaient déjà été dérobés il y a quelques mois.

Alors, à l’instar d’Apple il y a quelques semaines, la réaction de l’entreprise pour clamer son innocence ne s’est pas fait attendre : très clairement, Snapchat a réfuté tout piratage de son infrastructure et rejeté la faute directe sur les applications tierces dont l’usage est prohibé dans ses conditions générales d’utilisation. Ces dernières ont généralement été créées dans le but de détourner le concept initial de l’application en permettant de sauvegarder dans le cloud les photos de l’émetteur sans qu’il en soit informé. Pas si éphémère que ça donc les photos !

2 applications/sites web sont rapidement pointés du doigt : « Snapsave » et « Snapsaved ». Moins sécurisés que Snapchat, c’est peut-être par ce biais que les photos auraient pu être dérobées. Et si Snapsave dément toute fuite de données, Snapsaved (nuance !) admet avoir identifié une faille et une potentielle perte de 500Mo de données.

On reste pourtant loin des 13Go que représente l’intégralité des clichés dévoilés. On évoque alors la possibilité que ces images soient déjà apparues sur des sites répertoriant des captures d’écran d’images Snapchat, actifs depuis des années.

Cette fois-ci, le but de ce piratage est très clair : diffuser et constituer une base de photos de nu(e)s. La rumeur d’un moteur de recherche en développement se répand même rapidement. Le but ? Retrouver les photos de n’importe qui simplement d’après son nom. Information finalement démentie, les photos sauvegardées par les 2 applications en cause ne contenant visiblement aucune métadonnée.

Alors, même question que pour Apple : Snapchat est-il responsable ? Selon bon nombre d’observateurs, les mesures de sécurité n’auraient pas été suffisantes pour désactiver, ou fortement compliquer, l’accès des applications tierces à ses serveurs. En réaction instantanée, l’entreprise s’évertuerait à faire fermer ces applications tierces illégales et mener une veille active sur les boutiques d’applications. Mais trop tard, le mal est fait…

Et à l’image d’Apple, si Snapchat ne semble pas directement en cause, c’est son image de marque qui en de nouveau a souffert, surtout au moment où l’entreprise prévoit d’intégrer prochainement la publicité à son application et se trouve en plein discussion avec Alibaba en vue d’une future introduction en bourse. Eh oui, car Snapchat, bien que ne générant pas encore de revenus, est tout de même valorisé à 10 milliards de dollars !

Conclusion

Le « Celebgate », cette affaire surmédiatisée débutée en septembre, fixe désormais les ingrédients d’une recette invariable et à succès : une mode sans cesse croissante pour les « selfies », rajoutez quelques détails de zones anatomiques intimes, des personnalités attirant toujours les badeaux, un manque de vigilance ou de connaissance de leur part, saupoudrez de petits « trous dans la raquette » sur les systèmes employés, souvent des solutions dans le « Cloud ». Et voilà le plat de résistance final : des informations très personnelles diffusées en masse sur la toile, monnayées ou non, portant un préjudice plus ou moins lourd aux victimes.

Mais surtout, bien au-delà du buzz et de la catégorie VIP touchée par ce scandale, les affaires de vol de clichés et plus généralement d’informations privées ont malheureusement tendance à se généraliser et toucher désormais M. ou Mme tout le monde, comme nous avons pu le voir avec l’affaire « Snapchat ». Les dérives autour de la publication des photos en ligne et le manque d’information à ce sujet ont d’ailleurs poussées à la CNIL à dispenser quelques conseils pratiques, c’est dire ! http://www.cnil.fr/documentation/fiches-pratiques/fiche/article/les-conseils-de-la-cnil-pour-mieux-maitriser-la-publication-de-photos/

C’est d’ailleurs souvent en réponse à des affaires de piratage de cette ampleur que ces sociétés revoient à la hausse ou corrigent leurs procédures de sécurité. Un mal pour un bien somme toute !

Même si les procédures de sécurité sont généralement revues à la hausse en réponse à des affaires de piratage de cette ampleur, la question de la protection des données personnelles hébergées dans le « Cloud » se pose désormais très clairement pour tout à chacun. Et nous ne parlons plus seulement de photos, d’autres données privées bien plus rentables intéressent particulièrement les truands du Net.

Il est donc à la fois de la responsabilité des fournisseurs d’applications grand public de proposer et communiquer des mécanismes de sécurité fiables, et des utilisateurs de prendre pleinement conscience des risques potentiels de ces solutions, en adaptant leurs comportements et usages en conséquence.


Voir les articles précédents

    

Voir les articles suivants