Les réseaux sociaux, un paradis pour les pirates !

Comment les pirates se servent-ils de ces réseaux pour profiler leurs cibles et quels sont les moyens à disposition pour se protéger efficacement ? Le point.

Les cybercriminels savent que plus ils amassent de renseignements sur leurs cibles, plus il est facile de les atteindre. Parallèlement, la plupart des individus partagent sciemment d’importants volumes de données personnelles sur les réseaux sociaux sans avoir pleinement conscience des conséquences financières ou émotionnelles. Mais comment les pirates se servent-ils de ces réseaux pour profiler leurs cibles et quels sont les moyens à disposition pour se protéger efficacement ?

Qu’est-ce que le profilage sur les réseaux sociaux ?

Sur les réseaux sociaux, le partage est roi ! Qu’il s’agisse de photos prises lors de la dernière conférence de votre entreprise ou de vos vacances à l’étranger ou bien d’anecdotes diverses sur votre animal de compagnie ou votre émission TV préférée…, toutes ces données partagées présentent un intérêt pour quelqu'un. Derrière ce quelqu'un, se cache sans doute une entreprise désireuse de vendre une nouvelle marque de pâtée pour chats ou une nouvelle série policière mais les réseaux sociaux sont également remplis de hackers, engagés dans des campagnes d‘hameçonnage ciblées (spear-phishing). S’il est exact que les données issues des réseaux sociaux se monnaient, cette réalité vaut autant pour des acteurs légitimes comme les marketeurs que pour les pirates informatiques.

En effet, explorer les réseaux sociaux pour recueillir des informations, libres d’accès, sur les gens, leurs centres d’intérêt et leurs modes de vie est une technique couramment utilisée par les administrations et les entreprises pour adresser des audiences qualifiées mais aujourd'hui, elle est aussi devenue la dernière ruse des cybercriminels pour identifier des cibles potentielles. 

Quel genre d’informations sont susceptibles d’être récoltées sur les réseaux sociaux ?

Tout dépend de ce qui est partagé. Une curriculum vitæ déposé en ligne vaut de l’or pour un profileur. De même, des informations publiées sur les réseaux sociaux concernant des événements spéciaux, l’identité de membres de votre famille, les lieux que vous visitez etc…. - qui permettent d’établir une sorte de portrait robot dévoilant votre style de vie et votre parcours - sont précieuses, à plus forte raison si ces données sont recueillies sur une longue période. 

Si vous utilisez les réseaux sociaux pour vous faire connaître ou « vous vendre » auprès d’éventuels employeurs, il faut être conscient que tous les conseils pour se mettre en valeur faciliteront également votre profilage. Par exemple, utiliser le même pseudonyme sur toutes les plates-formes sociales, permettra de vous retrouver plus facilement. Si vous êtes Anne-Marie-Dupond sur Facebook et @anne-marie-dupond sur Twitter et Skype, il y a de fortes chances que votre e-mail soit anne-marie-dupond@gmail ou anne-marie-dupond@icloud.com, etc…. De la même façon, une photo de profil,  souvent recommandée pour affirmer sa « marque personnelle», pourra tomber entre les mains de personnes malveillantes, susceptibles d’usurper votre identité. A noter qu’avec l’intelligence artificielle - à présent capable de générer des identités de personnes qui n’existent pas au moyen d’un algorithme formé sur plusieurs dizaines de milliers de photos en ligne - les subterfuges des pirates seront sans doute encore plus convaincants que tout ce qu’on a pu imaginer jusqu'à présent.

Et si même les spécialistes du marketing font également quelques recommandations, comme partager un résumé de sa biographie en mettant en avant ses réalisations et centres d’intérêt, rendre public son profil professionnel ou relier ses différents profils sociaux les uns aux autres…, -  il faut garder en mémoire que simplifier la tâche des « gentils », c’est aussi faciliter celle des « méchants » !

Comment les cybercriminels parviennent-ils à exploiter les réseaux sociaux ?

Le scandale Cambridge Analytica - qui se serait emparée des données personnelles (localisation, dates de naissance, pages aimées et profils publics) de dizaines de millions d’utilisateurs de Facebook sans leur consentement à des fins politiques - a fait la une des journaux l’année dernière. Pour les hackers attirés par l’appât du gain et/ou des données, le même genre de procédé peut leur permettre d’élaborer des publicités ciblées et des e-mails d’hameçonnage qui véhiculent des logiciels malveillants visant à infecter la machine de l’utilisateur. Les techniques sont identiques ; seule la « charge utile » diffère. 

Si certains sites tels que LinkedIn encouragent les utilisateurs à faire preuve d’exhaustivité dans les renseignements qu’ils communiquent pour faciliter leur recrutement, cette abondance d’informations permet également aux cybercriminels d’atteindre plus facilement leurs victimes, en pretextant une offre d’emploi par exemple. Tel a été le modus operandi d’un groupe de cybercriminels, l’APT Lazarus, qui a infiltré Redbanc, réseau interbancaire de DAB/GAB au Chili. Une annonce Linkedin pour un développeur de logiciels servait de couverture à ce groupe nord-coréen qui est parvenu à s’entretenir avec un employé de Redbanc, via skype, et à le persuader d’ouvrir un fichier PDF malveillant, censé contenir un formulaire de candidature. La faille de sécurité, réalisée en décembre 2018, n’a été découverte que le mois suivant.

Mais, il n’y a pas que sur les sites « professionnels » qu’il faut être vigilant ! Que dire des communautés de jeux en ligne qui rassemblent des millions de passionnés ? Quelle quantité d’informations est divulguée aux opérateurs de jeux en ligne et dans quelle mesure le traitement de ces données est-il sécurisé ? De plus en plus populaires, les environnements MMORPG (Jeux de rôle en ligne massivement multijoueurs) sont, en effet, devenus des cibles importantes pour les cybercriminels. Et si même des « géants » comme Sony se font pirater, il y a tout lieu de penser que des acteurs de moindre envergure - disposant de quantités astronomiques de données sur des millions d’utilisateurs – risquent également d’être visés.

Alors, comment éviter le profilage sur les réseaux sociaux ?

Plusieurs mesures peuvent être adoptées pour se protéger et protéger son entreprise, mais avant tout, il faut faire preuve de bon sens.

Premièrement, il est essentiel de se méfier de toutes les personnes qui vous sollicitent, de vérifier l’identité de celles qui se recommandent de quelqu’un que vous n’avez jamais rencontré et de s’assurer que les informations mentionnées dans les échanges ne sont pas déjà publiques. Prudence est mère de sûreté et, indépendamment des efforts assidus de l’assaillant, la réussite d’une campagne de phishing ou de spear-phishing dépend d’un facteur crucial : la coopération de la victime visée. Même si votre profil est la cible de cybercriminels, il ne faut surtout pas oublier que c’est vous qui avez le contrôle !!!

Deuxièmement, il faut vérifier que votre entreprise dispose de protections efficaces contre les documents PDF et Office malveillants - comme par exemple une solution de sécurité moderne - et surtout ne pas hésiter à signaler toute activité suspecte de hameçonnage au service informatique ou au responsable de de la sécurité. 

Troisièmement, il faut faire le point sur les informations partagées sur les réseaux sociaux. Est-il vraiment nécessaire de divulguer tant de renseignements sur LinkedIn ?  Un profil plus « light »  aura probablement autant d’intérêt auprès d’un employeur potentiel. Rien ne vous empêche ensuite de fournir des informations complémentaires sur demande (après avoir vérifié l’identité de ceux qui vous adressent ce genre de requête).

Enfin, il est recommandé de ne jamais ouvrir un fichier provenant d’une source inconnue sans l’avoir contrôlé avant au moyen d’un logiciel de sécurité reconnu ou mieux encore, d’une solution de sécurité automatisée, capable de bloquer et de mettre en quarantaine les fichiers tentant d’exécuter du code suspect.

Le partage sur les réseaux sociaux présente l’avantage, non négligeable, de communiquer plus facilement avec les autres, pour des raisons d’ordre professionnel ou personnel, avec tous les avantages que cela comporte : nouveaux amis, nouveaux postes, nouvelles expériences. Malheureusement, il est toujours possible que des acteurs malveillants s’approprient ces informations à des fins lucratives. Avant de vivre dans cet univers connecté, nous faisions tous relativement attention à nos données personnelles et nous ne partagions pas avec la terre entière notre date de naissance, notre métier ou notre animal préféré, comme c’est aujourd’hui le cas sur Internet. Et ce, parce qu’avant, nous étions tous parfaitement capables de faire le distinguo entre ce qui relève du domaine privé et du domaine public. Les réseaux sociaux ont brisé cette frontière, et pourtant, c’est précisément là que réside le danger. En matière de cybersécurité, les frontières -  et la prudence - sont des armes de défense essentielles.