Sunday, May 8, 2011

Les dangers des réseaux sociaux

Les dangers des réseaux sociaux

Nous sommes aujourd’hui très nombreux à fréquenter les réseaux sociaux… Patron, voisin ou petit(e) ami(e), tout le monde peut être contacté via au moins un site de réseautage. Face à ce succès, ces plates-formes attirent elles-mêmes les cybercriminels appâtés par un mode de rémunération facile sur le compte d'utilisateurs souvent insouciants.

Introduction

Les menaces y sont multiples et protéiformes : des messages publicitaires non sollicités habituels jusqu'aux escroqueries plus sophistiquées conçues pour dérober vos données d'identification sur ces réseaux sociaux, voire pour installer une porte dérobée sur votre ordinateur. Une telle attaque peut entraîner le vol de votre patrimoine informationnel ou monétaire, sans oublier qu'elle peut également menacer les individus qui vous entourent. Il est primordial de comprendre que lorsque vous êtes victime de ces criminels, les conséquences ne se limitent pas à vous uniquement, mais peuvent également toucher les personnes de votre entourage, notamment vos amis dans les réseaux sociaux. Afin de vous protéger, vous devez non seulement suivre quelques règles de bases élémentaires, mais également sensibiliser vos amis à cette nouvelle donne.

Attaque contre vos amis : hameçonnage de compte

Une des menaces les moins dangereuses d’un point de vue technique reste la tentative traditionnelle d'obtenir les données d'identification d'un utilisateur par hameçonnage. À l'instar de ce qui se passe dans les escroqueries visant les services bancaires en ligne ou dans les avis falsifiés émanant de l'IRS (fisc américain), l'individu à l'origine de l'attaque met en place un site qui ressemble en tous points à la page d'ouverture de session du réseau social ciblé, puis diffuse le lien vers celui-ci dans des messages prétendument envoyés par le personnel chargé de la gestion du réseau social.

новое окно
Figure 1 : site d'hameçonnage contre Facebook

Bien entendu, cette page n'a d'autre but que de renvoyer l'utilisateur qui ne se doute de rien vers le site original du réseau social après qu'il aura saisi ses données d'identification. L'individu à l'origine de l'attaque peut ensuite utiliser les données obtenues de différentes manières:

  • Vente des données d'identification sur un marché noir
  • Obtention d'informations complémentaires sur la victime de l'attaque grâce au profil
  • Envoi de plus de messages non sollicités via la plateforme du réseau social depuis le compte compromis.

Une fois que l'individu à l'origine de l'attaque a pu accéder à votre compte, il peut exploiter votre réseau de confiance. Il peut se faire passer pour vous en envoyant des messages à vos amis qui semblent provenir de vous et il peut également exploiter la confiance de vos amis pour les convaincre de cliquer sur un lien, installer un programme malveillant ou ouvrir eux-mêmes un site d'hameçonnage.

Heureusement ces attaques sont relativement faciles à repérer car ces fausses pages de connexion ne possèdent pas un certificat SSL valide et le nom de domaine est normalement corrompu d'une manière ou d'une autre. Toutefois les utilisateurs qui ne sont pas conscients des problèmes de sécurité ont tendance à ignorer ces indicateurs dans la mesure où ils sont trop occupés à réfléchir à l'image « comique » qu'ils vont bien pouvoir envoyer à leurs amis. Ceci étant dit, les sites de réseaux sociaux comme Facebook font de leur mieux pour sensibiliser leurs utilisateurs aux risques que posent ces attaques facilement identifiables. En général, les sites comme Facebook ont tendance à informer leurs membres sur les menaces connues via leur page consacrée à la sécurité.

Perte des données d'identification sans être victime d'une attaque d'hameçonnage

Un autre type de menace qui a abandonné les attaques contre les sites de transactions bancaires en ligne pour cibler les utilisateurs des réseaux sociaux sont les programmes qui volent les mots de passe. Ces programmes injectent des parties de leur code dans votre navigateur (principalement Internet Explorer, et parfois Firefox) afin de voler les données d'accès de votre compte avant qu'elles ne soient envoyées sur le réseau.

Dans la mesure où les données sont volées à l'intérieur du navigateur, le chiffrement SSL entre votre ordinateur et le site n'offre aucune protection. Toutefois, un certificat SSL valide est présenté par le site de réseau social et votre navigateur affiche l'indicateur correspond adéquat. Par conséquent, ces attaques sont plus difficiles à identifier que les simples attaques par hameçonnage. Dans la mesure où le programme de vol de mots de passe est un programme malveillant installé localement sur votre ordinateur, la meilleure protection contre ces tentatives de vol de vos données d'identification est l'utilisation d'un logiciel antivirus à jour.

Dès qu'un individu malveillant aura obtenu vos données d'identification, il est fort probable qu'il continuera à envoyer des liens qui installeront le programme de vol de mots de passe sur les ordinateurs de vos amis, conduisant ainsi à une croissance exponentielle de l'infection:

новое окно
Figure 2 : propagation d'un programme de vol de mots de passe dans les réseaux sociaux

La majorité des messages envoyés en se faisant passer pour le propriétaire légitime du compte renferme un composant d'ingénierie sociale qui essaye de convaincre la victime (le destinataire du message) de visiter un site spécifique ou de télécharger une application sur son ordinateur. Même si vous ne pouvez pas convaincre vos amis d'installer un logiciel antivirus de qualité, vous pouvez leur dire qu'ils ne peuvent pas faire confiance aux liens envoyés par les amis. Dans la mesure où ces attaques sont générées par des ordinateurs, il est judicieux de demander à vos amis s'ils vous ont bien envoyé un lien.

Une des familles de programmes malveillants les plus actives et les plus répandues qui exploite cette technique est la famille Koobface (anagramme de Facebook) qui prend pour cible non pas un, mais plusieurs sites de réseaux sociaux :

  • Facebook
  • MySpace
  • Hi5 Networks
  • Bebo
  • ... et bien d'autres

Victime d'un téléchargement à la dérobée

Souvent, la visite d'un site malveillant suffit à installer, à votre insu, un programme malveillant sur votre ordinateur dans la mesure où certaines vulnérabilités du navigateur autorise l'exécution arbitraire d'un code,même lorsque Java(Script) et Flash sont désactivés. Si ces pages sont visitées à l'aide d'un navigateur vulnérable, l'infection est inévitable si l'ordinateur n'est pas équipé d'un logiciel antivirus à jour. Toutefois, l'individu mal-intentionné doit d'abord attirer des visiteurs vers cette page. Une des méthodes utilisées est celle citée ci-dessous, exploitant la confiance de votre réseau d'amis sous la forme d'un message que vous avez prétendument envoyé et qui reprend un lien vers la page compromise.


Figure 3 : exécution du code dans Internet Explorer

Une autre voie adoptée récemment par les individus mal-intentionnés consiste à envoyer des messages non sollicités sur Twitter et à publier des commentaires sur des blogs avec les liens vers les cibles malicieuses. Sur Twitter, il choisit les sujets les plus populaires du jour et ajoute des liens vers ses sites malveillants dans ses commentaires (Twitter possède un concept similaire à celui des canaux où certains sujets sont marqués par le caractère « # »).

Sur des services comme Twitter, où l'espace est très restreint, les services de raccourcissement d'URL sont très fréquents. La majorité de ces services n'offrent pas une fonction d'aperçu de l'URL vers laquelle ils renvoient et par conséquent, l'individu mal-intentionné peut aisément se dissimuler derrière un nom plus ou moins de confiance comme le nom du service de raccourcissement d'URL. Ceci élargit la portée de l'attaque.

À qui peut-on confier ses données ?

Les sites tels que Facebook permettent souvent à des développeurs tiers d'ajouter leur propre « Application » au site de réseau social et, en fin de compte, au profil de l'utilisateur. Ces applications ont souvent un accès total à vos données personnelles et à votre profil. L'utilisateur doit marquer son accord sur le partage des données personnelles et bien souvent il peut même choisir les éléments de son profil qu'il souhaite partager. Mais l'application qui exploite des techniques d'ingénierie sociale intelligentes, comme un cheval de Troie, peut amener un utilisateur à dévoiler pratiquement toutes ses données personnelles.

Heureusement, des sociétés comme Facebook sont conscientes de ces problèmes et vérifient manuellement chaque application avant de les diffuser sur le réseau. Bien sûr, comme n'importe quelle autre société, les ressources sont limitées et avec près de 50 000 applications personnalisées disponibles actuellement sur Facebook, tout ne peut pas être examiné aussi minutieusement qu'il le faudrait. Par conséquent, vous pourriez très bien activer l'application « Image du jour » qui affiche un joli petit chaton chaque jour tandis qu'en arrière-plan, elle s'empare de toutes vos données personnelles. La triste vérité est que toute personne qui développe une telle application peut intégrer une porte dérobée qui charge un JavaScript d'un serveur tiers et qui, finalement, dévoile toutes vos données personnelles. Si l'individu mal-intentionné est suffisamment doué, il est possible que l'application passe au travers des mailles du filet tendu par les analystes de Facebook.

Ces attaques sont difficiles à identifier pour l'utilisateur moyen car l'application tierce peut s'intégrer pratiquement entièrement dans le site du réseau social de confiance en termes d'aspect et de fonctionnalités. Souvent, le logiciel antivirus n'est d'aucune utilité car l'application tierce est exécutée sur le serveur dans le réseau de Facebook. Il appartient vraiment au site de réseau social d'éliminer ce type de menace.
Posted by ibrahim debeche at 3:15 AM