Version Imprimable Version Imprimable

Bill Brenner
PCWorld

Pour beaucoup de personnes, les réseaux sociaux sont devenus une routine comme préparer le café et se brosser les dents. Les administrateurs informatiques les répugnent et les accros d’Internet dépendent d’eux.

C’est parce que la plupart du temps que les gens passent sur MySpace, Facebook, LinkedIn, Twitter et les autres est durant les heures de travail — sur les machines du bureau.

A la conférence « ShmooCon 2009″ pour la sécurité, récemment, des chercheurs en sécurité ont démontré les multiples raisons pourquoi cela cause des problèmes.

À la présentation appelé « Echec 2.0 : de nouvelles idées sur l’attaque des réseaux sociaux », Nathan Hamiel et Shawn Moyer ont guidé les participants à travers des attaques réalisées sans difficulté à cause de la nature même de ces sites, là où les utilisateurs peuvent envoyer et échanger des images, du texte, de la musique et des autres contenus avec peu d’efforts.ba

« Les sites de réseaux sociaux sont conçus pour avoir autant d’utilisateurs que possible dans un seul endroit sur une seule plate-forme et, pour ceux qui lancent des attaques il y a un bon retour d’investissement de s’en prendre à eux » dit Moyer, décrivant l’ambiance comme un parfait mixte entre l’ingénierie sociale et de la mauvaise programmation.

À travers une variété de petites astuces, les attaquants peuvent prendre le contrôle du compte d’une personne d’un réseau social pour l’utiliser comme tremplin pour de nouvelles attaques sur d’autres utilisateurs, d’autres applications basées sur le Web 2.0, et ainsi de suite.

Les réseaux sociaux peuvent également être incorporés dans des machines zombies et, en fouillant à travers la page de messages en échec dirigé sur Twitter, un attaquant motivé peut trouver le numéro de téléphone portable de personnes importantes.

Hamile note que les perturbations commencent avec tant de puissance créatrice mise dans les mains de ceux qui ont plus ou moins ou pas du tout de compréhension de la technique.

« N’importe quelle application peut être utilisée pour attaquer une autre application est une application peut être utilisée pour voir toute votre fiche si les réglages pour l’intimité sont sur off » dit-il.  Même si vous mettez les réglages d’intimité en place, vous devez considérer que vous êtes fait.

La démonstration que le duo fait inclus :

- Créer le profil d’un imposteur sur LinkedIn, prendre l’identité de quelqu’un d’important et se faire autant d’amis que possible. Pour les besoins de l’expérimentation, les chercheurs ont créé un faux profil d’un leader de la sécurité bien connu (avec sa permission) et accumulé plus de 50 amis en moins d’un jour, la plupart d’entre eux étaient des CSOs (agent de sûreté de la compagnie) et autres gros bonnets.

- Montrer comment saboter la page de MySpace de quelqu’un avec lequel vous n’êtes pas connecté directement via le profil d’une simple connexion. Cet exemple comprenait le fait de truquer  les pages Myspace pour la rockeuse Alice Cooper et les acteurs Eva Longoria et Bob Saget. Dans ce scénario, Cooper et Longoria sont connectés à Saget mais pas entre eux. Longoria se connecte avec Cooper, qui refuse, et elle répond en utilisant une simple connexion vers Saget pour accéder et modifier la page de Cooper.

- Fouiller à travers un site qui accumule de vieux messages envoyés à l’origine à travers Twitter. Avec assez de patience, le pirate peut trouver et exploiter les découvertes comme les numéros de téléphone, les adresses e-mail et d’autres informations personnelles qui étaient à l’origine destinées à des personnes individuelles plus qu’au public global de Twitter.

James Arlen  un consultant en sécurité basée à Toronto, qui écoutait la présentation, n’est pas surpris par quoi que ce soit de cela.

« A la fin de la journée, beaucoup trop de personnes opèrent dans une zone qu’ils présument comme sur » dit-il. « Il y a un faux sentiment de sécurité lorsque vous regardez le profil de quelqu’un et que vous dites, « Je connais cette personne » mais qui n’y a pas de véritable tentative d’authentification.

http://www.pcworld.com/article/159560/not_among_friends_the_dangers_of_social_networks.html