Dans la continuité de l'article sur les "Anonymous", et leur vraie/fausse attaque contre Facebook dont le mobile serait la politique menée quant à l'utilisation des données personnelles, il m'a paru intéressant de consacrer un petit article concernant la sécurité contre les divers "cyber-attaques" dont les réseaux sociaux, Facebook en tête, peuvent être la cible.
Si Facebook a fait beaucoup de progrès depuis sa création concernant la sécurité des informations tout est encore loin d'être parfait.
Partons d'abord du simple désir de tout un chacun de protéger un minimum les données diffusées sur ce qui est le "cyber-lieu" le plus "hype" du moment.
En effet, chacun d'entre nous (ou la plupart désormais) est tout de même conscient que son image virtuelle peut nuire à différents niveaux...et ce notamment au niveau professionnel. Ainsi beaucoup ont profité des nouvelles fonctionnalités offertes par la plate-forme afin de contrôler par exemple ce que peuvent voir les internautes sur le profil public (et donc toute personne ne faisant pas partie de votre liste d' "amis"). En effet, il serait malvenu que votre employeur (ou un potentiel futur employeur) vous voit sur des photos peu avantageuses de fin de soirée, ou lise les commentaires de vos amis ou simples connaissances soulignant l'état de délabrement dans lequel vous avez pu vous trouver l'autre soir.
A ce propos une alternative qui se répand actuellement est l'emploi de deux profils , un avec un surnom plutôt que votre véritable identité où vous pourriez ne pas avoir de craintes de ce qui y est dit, et un autre avec votre vraie identité, sur lequel vous accepteriez vos collègues et/ou vos supérieurs.
Rien de bien neuf fondamentalement dans cette approche, en effet si vous êtes de ma génération (fraîchement catapulté dans le monde professionnel) vous avez surement l'un ou l'autre contact Facebook qui emploie un sobriquet plutôt que son vrai nom.
Si cette personne est encore aux études (ce sera le plus souvent un homme d'ailleurs), il expliquera ce choix par le souhait de ne pas être repéré sur Facebook par n'importe qui et ne pas crouler sous les demandes d'amitié (ha le succès!)...le plus souvent il s'agira en fait d'un individu soucieux de cacher des choses à sa compagne ou de pouvoir jouer sur plusieurs tableaux sans être sous le joug d'une "cyber-surveillance" (comme quoi dés qu'il s'agit et de manipulations et de mensonges, le premier venu (parfois même très limité intellectuellement) peut faire preuve d'une créativité insoupçonnée).
Si cette même personne travaille, là bien évidemment son mobile est désormais tout trouvé et difficilement attaquable (si il s'agit réellement de son mobile on ne peut pas l'en blâmer).
Enfin au delà des curieux malvenus, se pose alors le problème des "cyber-menaces".
Car si dans un premier temps Facebook stocke vos informations dans son "nuage", elle permet aussi à des applications tierces (typiquement toute application que vous acceptez d'utiliser, et qui vous demande la permission d'accéder à toutes vos données) de venir stocker les données dans leur propre "nuage" et c'est là qu'on ignore ce qu'il advient de ces données, que l'application pré-citée soit pourvues de mauvaises intentions ou pas.
- Les célèbres spams : qui vont venir récupérer le maximum d'adresses électroniques fonctionnant sur la propagation ultra-rapide que peut rencontrer une application (un bon exemple est l'application : "Découvre qui a consulté ton profil" que vous avez sans doute déjà aperçue l'une ou l'autre fois chez l'un de vos contacts).
- Toutes une série de spyware,malware, chevaux de troie, faux logiciel de sécurité...
- Des attaques contre le réseau de l'entreprise d'un utilisateur peuvent même être menées par divers subterfuges à partir de la récupération de l'adresse mail de l'employé et de l'organisation pour laquelle il travaille.
- Le likejacking : qui consiste à cacher un bouton "j'aime" sur des vidéos de sorte que l'utilisateur lorsqu'il appuie sur play, partage automatiquement cette vidéo sur son mur.
- le Phishing : via de fausses pages de connexion qui permettent de subtiliser le nom d'utilisateur et le mot de passe de l'utilisateur (méthode qui a également fait de récents ravages dans le domaine du homebanking)
-...
Pour terminer, un cas un peu plus détaillé et qui est sans doute un des plus "sophistiqués" : Le cheval de Troie.
Le cas du Trojan.FakeAV.LVT est très parlant sur les possibilités de détournement des données de votre compte Facebook, le procédé est le suivant :
- Dans le chat de Facebook, un de vos contacts démarre une conversation avec ce genre d'approche "Salut comment tu vas?" "Hey c'est toi dans cette vidéo?" "Je crois que cette vidéo pourrait t'intéresser" suivie d'un lien vers cette vidéo censée représenter la personne ciblée.
- Une vidéo youtube apparaît alors, comprenant non seulement le nom de la cible ( suite au données extraites directement de son profil) et en sus quelques "amis" de la cible ayant prétendument fait des commentaires (à nouveau les noms des "amis" ayant été extrait du profil de la victime).
- Ensuite si l'utilisateur souhaite lancer la vidéo, un pop-up l'invitera à installer une nouvelle version de Flash Player, l'actuelle étant soit disant périmée. Ce téléchargement installera alors le Cheval de Troie sur la machine de l'utilisateur
- Ce Cheval de Troie va alors désactiver le pare-feu et neutraliser l'anti-virus, pour ensuite feindre de détecter des virus et faire croire à l'utilisateur qu'il doit suivre les instructions indiquées...ce qui lui permettra de diffuser des malwares à volonté.
Petit commentaire personnel, si un utilisateur est sur le point de se faire avoir, un peu de chance quant à la sélection des "amis" ayant commenté cette fausse vidéo peut lui être salutaire. En effet partant du postulat que le web en général, Facebook en particulier, abrite un jeu de massacre de la langue française (et de toute autre langue à priori, les francophones n'ayant pas le monopole de la totale ignorance des règles d'orthographe les plus élémentaires), l'utilisateur constatera peut-être chez un "ami" une perfection orthographique aussi inhabituelle que suspecte.
- La solidité du mot de passe : une bonne pratique consiste à mélanger minuscules, majuscules et chiffres. (en effet le nom de votre chat ou votre date de naissance, sont une invitation aux gens malveillants et ce même ceux dénués de la moindre capacité de hacker...)
- Supprimer les cookies après déconnexion : en effet des chercheurs ont montré que Facebook pouvaient suivre votre activité par l'intermédiaire de ces cookies même une fois déconnecté. Vous pouvez configurer votre navigateur pour qu'il supprime les cookies une fois que vous fermez votre navigateur.
- Soyez prudent concernant les applications auxquelles vous permettez d'accéder à vos données personnelles
- Et la plus évidente de toutes : réfléchissez à ce que vous publiez comme information, et réfléchissez aux conséquences éventuelles avant d'ajouter un contenu.
Vous voilà à présent un peu mieux informé et armé concernant les "cyber-attaques" de réseaux sociaux.
Pour plus d'information sur le sujet, consultez le livre blanc de "bitdefender" sur le sujet.
Si vous avez aimé cet article n'hésitez pas à vous abonner au flux RSS (dans le menu de droite) ou à vous abonner par mail (vous recevrez uniquement un mail lors de la publication d'un nouvel article RIEN D'AUTRE)
Sur la même thématique, lisez aussi :
Pourquoi les réseaux sociaux sont-ils des cibles prisées pour des "cyber-attaques"?
Cela semble évident, car ces réseaux réunissent des millions d'utilisateurs, d'adresse mails et tout autre information sensible et privée. En clair, une mine d'or pour qui veut détourner ces informations emprunt de vils desseins.Car si dans un premier temps Facebook stocke vos informations dans son "nuage", elle permet aussi à des applications tierces (typiquement toute application que vous acceptez d'utiliser, et qui vous demande la permission d'accéder à toutes vos données) de venir stocker les données dans leur propre "nuage" et c'est là qu'on ignore ce qu'il advient de ces données, que l'application pré-citée soit pourvues de mauvaises intentions ou pas.
Et ces "cyber-attaques" en quoi consistent-t-elles concrétement?
Sur le banc des accusés on retrouve notamment :- Les célèbres spams : qui vont venir récupérer le maximum d'adresses électroniques fonctionnant sur la propagation ultra-rapide que peut rencontrer une application (un bon exemple est l'application : "Découvre qui a consulté ton profil" que vous avez sans doute déjà aperçue l'une ou l'autre fois chez l'un de vos contacts).
- Toutes une série de spyware,malware, chevaux de troie, faux logiciel de sécurité...
- Des attaques contre le réseau de l'entreprise d'un utilisateur peuvent même être menées par divers subterfuges à partir de la récupération de l'adresse mail de l'employé et de l'organisation pour laquelle il travaille.
- Le likejacking : qui consiste à cacher un bouton "j'aime" sur des vidéos de sorte que l'utilisateur lorsqu'il appuie sur play, partage automatiquement cette vidéo sur son mur.
- le Phishing : via de fausses pages de connexion qui permettent de subtiliser le nom d'utilisateur et le mot de passe de l'utilisateur (méthode qui a également fait de récents ravages dans le domaine du homebanking)
-...
Pour terminer, un cas un peu plus détaillé et qui est sans doute un des plus "sophistiqués" : Le cheval de Troie.
Le cas du Trojan.FakeAV.LVT est très parlant sur les possibilités de détournement des données de votre compte Facebook, le procédé est le suivant :
- Dans le chat de Facebook, un de vos contacts démarre une conversation avec ce genre d'approche "Salut comment tu vas?" "Hey c'est toi dans cette vidéo?" "Je crois que cette vidéo pourrait t'intéresser" suivie d'un lien vers cette vidéo censée représenter la personne ciblée.
- Une vidéo youtube apparaît alors, comprenant non seulement le nom de la cible ( suite au données extraites directement de son profil) et en sus quelques "amis" de la cible ayant prétendument fait des commentaires (à nouveau les noms des "amis" ayant été extrait du profil de la victime).
- Ensuite si l'utilisateur souhaite lancer la vidéo, un pop-up l'invitera à installer une nouvelle version de Flash Player, l'actuelle étant soit disant périmée. Ce téléchargement installera alors le Cheval de Troie sur la machine de l'utilisateur
- Ce Cheval de Troie va alors désactiver le pare-feu et neutraliser l'anti-virus, pour ensuite feindre de détecter des virus et faire croire à l'utilisateur qu'il doit suivre les instructions indiquées...ce qui lui permettra de diffuser des malwares à volonté.
Petit commentaire personnel, si un utilisateur est sur le point de se faire avoir, un peu de chance quant à la sélection des "amis" ayant commenté cette fausse vidéo peut lui être salutaire. En effet partant du postulat que le web en général, Facebook en particulier, abrite un jeu de massacre de la langue française (et de toute autre langue à priori, les francophones n'ayant pas le monopole de la totale ignorance des règles d'orthographe les plus élémentaires), l'utilisateur constatera peut-être chez un "ami" une perfection orthographique aussi inhabituelle que suspecte.
Que faire pour limiter la vulnérabilité de votre compte?
- La solidité du mot de passe : une bonne pratique consiste à mélanger minuscules, majuscules et chiffres. (en effet le nom de votre chat ou votre date de naissance, sont une invitation aux gens malveillants et ce même ceux dénués de la moindre capacité de hacker...)
- Supprimer les cookies après déconnexion : en effet des chercheurs ont montré que Facebook pouvaient suivre votre activité par l'intermédiaire de ces cookies même une fois déconnecté. Vous pouvez configurer votre navigateur pour qu'il supprime les cookies une fois que vous fermez votre navigateur.
- Soyez prudent concernant les applications auxquelles vous permettez d'accéder à vos données personnelles
- Et la plus évidente de toutes : réfléchissez à ce que vous publiez comme information, et réfléchissez aux conséquences éventuelles avant d'ajouter un contenu.
Vous voilà à présent un peu mieux informé et armé concernant les "cyber-attaques" de réseaux sociaux.
Pour plus d'information sur le sujet, consultez le livre blanc de "bitdefender" sur le sujet.
Si vous avez aimé cet article n'hésitez pas à vous abonner au flux RSS (dans le menu de droite) ou à vous abonner par mail (vous recevrez uniquement un mail lors de la publication d'un nouvel article RIEN D'AUTRE)
Sur la même thématique, lisez aussi :
- Tumblr : en route pour une "success story" à la Facebook?
- Mark Zuckerberg victime d'un bug de SON Facebook
- Petite sélection Tumblr
0 commentaires:
Enregistrer un commentaire