La recette d'une attaque d'entreprise à la sauce Facebook
Publié le 15/11/2011
Fort du succès des réseaux sociaux, les pirates profitent de certaines de leurs faiblesses en matière de confidentialité pour mener à bien des attaques ciblant des entreprises. C’est d’ailleurs ce qui est arrivé à une firme financière américaine, les cybercriminels ayant utilisé les comptes Facebook de leurs employés.
Voici la recette de leur « succès », dont la note peut s’avérer salée et difficile à digérer pour l’entreprise concernée.
Préparez les ingrédients suivants :
- 2 employés de la même entreprise surfant régulièrement sur Facebook (jusqu’ici, facile à trouver), que nous appellerons par souci de clarté Alice et Bob
- 1 bonne dose d’amitié entre eux, au point d’organiser quelques activités extraprofessionnelles (comme une soirée déguisée par exemple)
- 1 pincée de commentaires de ces activités sur leurs profils respectifs, pouvant mettre la puce à l’oreille de personnes malintentionnées
- 1 poignée de pirates ayant ciblé les bonnes personnes (au hasard, les 2 employés ci-dessus) et réussi à prendre le contrôle du compte de l’un d’entre eux (celui d’Alice par exemple, qui n’a visiblement pas suivi les recommandations pour construire son mot de passe !)
- commencez par concocter un email depuis le compte piraté d’Alice, pour l’envoyer à Bob en prétextant vouloir partager les photos de la soirée passée ensemble
- incorporez au contenu du mail un lien piégé vers les soit disant photos. Ce lien tente alors d’installer un intercepteur de frappe clavier par exemple
- une fois que Bob a cliqué sur le lien (et donc que le logiciel pirate est installé sur son ordinateur), laissez mijoter jusqu’à ce que ce dernier se connecte à l’intranet de son entreprise
- récupérez alors les identifiants de Bob et le tour est joué ! Vous pouvez désormais vous connecter à l’intranet et explorer le réseau de l’entreprise
- insister davantage sur l’information et la formation de leurs employés quant aux risques liés à ces réseaux
- délimiter le périmètre d’utilisation des réseaux sociaux en fonction du rôle métier de chaque employé
- restreindre dans la mesure du possible les utilisations superflues