Intrapole
l Espace client l FAQ l RSS 2.O l
- Bienvenue sur le site de Intrapole, leader de la sécurité informatique en Afrique sub-sahérienne
VOUS  TES ICI : Accueil » Intrapole » Actualité »

Anatomie d’une intrusion : quand l’admin parle trop.

Voici de quoi montrer, s’il était encore nécessaire, toute l’importance de sensibiliser ses collaborateurs, et notamment les administrateurs, aux risques du bavardage sur le web social.

Zataz publie une interview (la seule à notre connaissance) du pirate français parvenu à s’introduire sur le backoffice d’administration de Twitter. Il y détaille la technique utilisée pour parvenir à ses fins, et l’article montre combien la phase de reconnaissance y joue un rôle essentiel.

Le pirate est en effet parti de la page "About Us" de Twitter pour identifier les noms de certains employés, afin de chercher ensuite leurs éventuels sites ou blogs personnels. A partir de ces noms de domaine, un vulgaire WHOIS lui a permis de récupérer les adresses emails, souvent personnelles, des employés en question. Il a alors pu cibler l’un d’eux dont le compte est hébergé sur le webmail de Yahoo !... et lancer très naturellement une demande de changement de mot passe "perdu" auprès de l’hébergeur ! L’objectif est à ce stade de fouiller les emails de l’administrateur à la recherche de courriers de confirmations d’autres services en ligne, qui contiendraient notamment un mot de passe en clair.

Mais afin de resetter le mot de passe du compte Yahoo ! Mail, le pirate a cependant du fournir des informations personnelles au sujet de sa victime... informations qu’il a pu dénicher sur une entrée de blog datée de 2002 !

La suite du récit est disponible sur le site de Zataz, mais cet incident confirme combien les informations personnelles partagées sur le web ne sont jamais oubliées, et peuvent être mises à profit des années après avoir été divulguées. En 2002, l’administrateur en question n’avait aucune idée de ce que serait son emploi en 2009. Et il n’avait probablement aucune idée non plus que de telles informations pourraient lui nuire.

Cet incident illustre aussi de façon criante le danger des applications Facebook à la mode tels les sondage destinés à savoir si vous "connaissez bien untel". Tant que le "sondage" est réalisé par le premier intéressé pour être proposé à ses amis, tout va bien.

Mais une telle application peut parfaitement appliquer à la collecte d’information personnelles un modèle collaboratif qui serait succulent s’il n’était pas dangereux : vos propres amis pourraient être encouragés, sans que vous ne soyez consultés, à remplir un questionnaire sur vos préférences et vos informations personnelles sous couvert de déterminer s’il vous connaît réellement et s’il est un "bon ami" (lorsqu’un membre Facebook a autorisé une application, celle-ci obtient les mêmes droits que lui pour accéder aux informations personnelles de ses amis).

Et aucun filtrage ne viendra sauver la mise : rien n’empêche un utilisateur de s’adonner à ces loisirs depuis chez lui et communiquer toutes ses informations personnelles. Il reste toujours la sensibilisation...

Par Jerome Saiz (SecurityVibes)

Actualité

l Accueil l Intrapole l Alerte sécurité l Expertise l RÈfÈrences l Partenaires l Téléchargements l FAQ l Contacts l