ISS met en avant l’insécurité des réseaux sociaux

Cloud

Un expert sécurité de la filiale d’IBM met en avant l’exploitation
potentiellement criminelle des infos laissées sur des services comme MySpace ou
LinkedIn.

Les réseaux sociaux sont-ils dangereux pour l’intégrité des entreprises et des individus? Oui, estime Gunter Ollman, expert de la X-Force d’IBM Internet Security Systems (ISS, racheté en août 2006). Selon lui, les données enregistrées dans les profils des sites comme MySpace ou LinkedIn peuvent être très facilement exploitées à des fins malveillantes.

Dans un message posté le 8 août 2007 sur son blog, l’expert estime que « les victimes [de vols d’identités] avaient beaucoup d’informations personnelles sur leurs profils […] et ces informations ont été utilisées par les criminels à des fins frauduleuses. » Les informations en questions peuvent être liées à l’adresse, aux contacts, à la date de naissance, aux voyages effectués, au parcours scolaire, et même aux animaux domestiques.

A des fins d’espionnage industriel

Gunter Ollman démontre rapidement la méthodologie des criminels. Par exemple, en associant les informations prélevées sur une carte de crédit (nom, numéro…) et le profil exposé dans MySpace. Nom, date et lieu de naissance en poche, le criminel s’adresse alors à la banque de la victime pour, en son nom, déclarer qu’elle a perdu son code de carte et son mot de passe. Données que, selon l’expert, la banque n’hésitera pas à lui communiquer par téléphone puisque le correspondant aura correctement répondu aux paramètres de vérifications : date et lieu de naissance, ainsi que mot de passe de récupération qui pourra être le nom de son animal domestique, celui de sa mère, de son film, de sa couleur préférée, etc. Une démarche aux chances de succès limitées mais potentiellement réaliste (sauf en France, notamment, où le code de la carte de crédit est généralement envoyé par voie postale).

Le même principe pourrait être appliqué dans l’univers professionnel à travers les données personnelles de leurs employés afin de reconstituer, organigramme, parcours professionnels, CV, etc. Autant de données qui peuvent être revendues à des agences de recrutement où à des fins d’espionnage industriel. Ou encore à des organisations criminelles intéressées, par exemple, par les dates de départs en congés de tel employé et de sa famille croisées à leur adresse personnelle. Une résidence vide étant toujours plus facile à  » visiter » qu’occupée…

Tous les réseaux sociaux ne contenteront pas les criminels. Selon Gunter Ollman, Facebook, notamment, présente un niveau de confidentialité des informations qui devrait décourager plus d’un acteur aux intentions belliqueuses. Tout comme BlackPlanet.com, toujours selon l’auteur du blog. En d’autres terme, loin de négliger les plates-formes de réseaux sociaux, il convient de vérifier leur politique de confidentialité (où bien maîtriser les informations que l’on fournit) avant d’y adhérer.