Sécurité IT : les hackers trouvent en LinkedIn un allié pour investir une entreprise

LinkedIn serait en train de devenir l’une des principales sources d’inspiration des pirates.

Mais la cible numéro un resterait encore Google. Soulagé ?

Avec 150 millions de membres revendiqués, le réseau social professionnel suscite l’intérêt des hackers.

Il est considéré comme un levier pour pénétrer un système d’information d’une entreprise donnée.

Les hackers pourront s’appuyer sur les techniques d’ingénierie sociale, qui ont déjà fait leurs preuves en 2011.

Les comptes GMail de plusieurs membres du gouvernement américain ont été piégés par le biais d’une opération de phishing sophistiquée.

Tandis que l’éditeur de certificats de sécurité RSA est tombé sur un gros pépin d’intrusion.

Sur LinkedIn, il devient facile de repérer les collaborateurs d’une entreprise et de viser les liens qui se créent entre collègues.

Envoyer un mail contenant un fichier joint piégé en se faisant passer pour une de ces personnes de confiance devient un jeu d’enfant.

Il est même possible de s’attaquer à tout un groupe d’employés en même temps.

Selon CNN Money, Ryan O’Horo, expert réputé en sécurité informatique qui collabore avec IOactive (appliances de sécurité IT), a ainsi décrit une expérience de ce type dans une étude de cas.

Une importante société cliente souhaitait mener des tests de ses systèmes de sécurité internes.

La parade a été, justement, de passer par LinkedIn.

D’abord construire sa crédibilité. Ryan O’Horo a créé un faux profil, en se faisant passer pour un nouvel employé de l’entreprise.

Il a ajouté 300 salariés de la société ciblée dans ses contacts. 66 ont accepté rapidement, ce qui lui a permis de gagner une certaine légitimité.

Deuxième étape : entrer dans l’organisation en coulisse. L’expert en sécurité IT a exploité un forum privé (toujours dans LinkedIn) créé par les salariés de l’organisation.

« J’avais fini par capter une audience d’un millier d’employés de la compagnie », constate Ryan O’Horo.

« J’ai posté un lien sur le mur du groupe qui se présentait comme une page d’enregistrement à un nouveau projet en bêta test. En deux jours, j’ai eu 87 clics – dont 40% provenaient de l’intérieur du réseau corporate. »

Néanmoins, l’intrus a fini par se faire repérer par un collaborateur qui commençait à émettre de sérieux soupçons…

Premier enseignement : la direction de l’entreprise ne connaissait même pas l’existence de ce groupe LinkedIn, qui avait pourtant été créé par un groupe de salariés en interne.

De quoi transformer LinkedIn en LeakedIn si ce type d’initiatives n’est pas contrôlé…

Logo : © Yuri Arcurs – Fotolia.com