Les réseaux sociaux sont de vrais annuaires pour les cybercriminels

Alexis Grondin

01net.

le 24/07/2008 à 18h10

2 réactions

envoyer
par mail

imprimer
l'article

Les réseaux sociaux sur Internet étaient connus pour réduire la productivité en entreprise. Facebook, Viadeo, LinkedIn, pour ne citer qu'eux, semblaient être responsables de la distraction au travail. Un rapport sur la sécurité publié en ce mois de juillet par Sophos tendrait à prouver qu'ils peuvent aussi être à l'origine de failles dans la sécurité des systèmes informatiques des professionnels.

Le piratage devient un marché

L'étude (1) met en évidence une nouvelle orientation du piratage informatique, majoritaire depuis maintenant trois ans. “ Avant, les pirates étaient des adolescents au fond d'une cave qui voulaient montrer au monde leurs compétences. Ils infectaient massivement les PC de vers, comme Netsky par exemple, ou déstabilisaient les systèmes d'organismes gouvernementaux. On était dans la logique de montrer au monde qui était le plus fort, explique Michel Lanaspèze, directeur du marketing et de la communication de Sophos pour la France et l'Europe du Sud. Maintenant, le but, c'est l'argent, du coup les pratiques sont plus discrètes, plus secrètes. ”

Les moyens mis en œuvre se perfectionnent. “ L'ère du spam contenant une pièce jointe infectée est terminée. Les cybercriminels utilisent maintenant des liens URL dans le corps des messages, liens qui mènent à des sites infectés. C'est plus dynamique, plus facile à faire évoluer ”, ajoute Michel Lanaspèze. Et les subterfuges pour faire cliquer la victime sur le lien ou pour lui soutirer des informations confidentielles ou personnelles sont de plus en plus subtils. L'utilisation des réseaux sociaux, notamment, est un vrai problème.

On n'empêchera personne de cliquer sur un lien envoyé par un “ ami ”

“ Retrouver ses amis perdus depuis vingt ans sur Copains-D'avant, des camarades de classe, c'est super. Tisser des liens professionnels sur Facebook, c'est aussi profitable. Mais, pour un cybercriminel, ces plates-formes sont une mine d'informations. Il peut cibler sa victime selon sa place dans l'organigramme d'une entreprise. ” La mise en ligne d'informations personnelles, voire intimes, peut créer une brèche. Et le Web 2.0 devenir un annuaire professionnel pour un utilisateur malintentionné.

“ Un hacker peut vous appeler ou vous contacter sur votre boîte mail en se faisant passer pour un ancien ami et vous faire cliquer sur un lien malveillant dans un e-mail, ou vous soutirer des informations professionnelles ”, poursuit le directeur du marketing de Sophos France. Cette méthode a fait des victimes haut placées outre-Atlantique ainsi que dans des organismes bancaires européens.

“ Sophos n'a rien à vendre comme solution à ce problème, si nous en parlons dans notre étude, c'est simplement que ces pratiques nous font peur. On essaie de sensibiliser les gens, de les inciter à ne pas donner trop d'informations directement sur ces réseaux. ” Ce risque ne connaît pas de solution matérielle. “ On peut sécuriser les passerelles Internet des entreprises, installer des antimalwares en plus des antivirus sur les boîtes mail pour limiter l'arrivée d'e-mails contenant des liens à risque ”, note Michel Lanaspèze. Mais on ne peut pas empêcher quelqu'un de cliquer sur un lien envoyé par un ami.

(1) Le rapport reprend les observations de Sophos pour les six premiers mois de l’année. Les chiffres ont été obtenus par les pièges à spam placés par Sophos dans cinquante pays, par l’observation du trafic des e-mails dans environ mille entreprises clientes de Sophos à travers le monde, par un partenariat de partage de données avec des moteurs de recherche et par l’observation de flux quotidiens de millions d’URL malveillants.