Les réseaux sociaux trop dangereux pour les entreprises ?

le 17/09/2010, par Guillaume Garnier, Actualités, 641 mots

Les réseaux sociaux trop dangereux pour les entreprises ?

Selon un spécialiste en sécurité, les réseaux sociaux comportent trop d'informations qui pourraient être utilisées pour attaquer les entreprises. Les pirates pourraient en effet utiliser les publications des employés sur ces sites pour s'introduire dans les réseaux internes.

« Les réseaux sociaux sont vraiment diaboliques ». Selon Alan Lustiger, directeur de la sécurité de l'information chez Gain Capital Holding, société de commerce en ligne, les réseaux sociaux constituent une ressource majeure pour les hackers essayant de s'approprier des données d'entreprises ou de s'attaquer à leurs réseaux internes. Il explique cela en sept points.


1. Rechercher sur ces sites les noms des entreprises renvoie à des organigrammes partiels, et il s'agit donc d'un bon début pour préparer une attaque via ces réseaux.

2.
Utiliser les adresses email glanées sur ces sites peut fournir des informations cruciales. Si le système de nom de l'adresse (initiale du prénom suivie du nom, ou prénom, tiret, nom par exemple) est identique au système d'attribution de mots de passe, la sécurité est compromise. « Vous êtes alors à mi-chemin de pirater leur nom d'utilisateur et mot de passe », affirme-t-il.

3. Les informations publiées sur les réseaux sociaux donnent des indices pour déterminer les mots de passe : nom des enfants, équipes préférées, goût alimentaires...

4. Des faux concours prenant place sur ces sites et demandant toutes sortes d'informations peuvent contribuer à un changement du mot de passe par les pirates. Les noms de l'école, de l'animal de compagnie ou de l'oncle préféré donnent les réponses aux questions secrètes par lesquelles il est possible de modifier le mot de passe.

5. Les URL réduites utilisées sur Twitter peuvent mener n'importe où, et il n'y a aucun indice dans le nom de l'adresse qui aiderait à deviner cette redirection. Un site malveillant peut très bien se trouver à l'arrivée.

6. Exploiter les forums et sites de recherches d'emploi peut informer sur des embauches IT dans des entreprises spécifiques. Les attaquants pourraient alors obtenir un entretien au cours duquel ils rassembleraient des détails sur l'infrastructure réseau de cette société en discutant de leurs expériences et du travail éventuel.

7. L'utilisation du GPS par Google Latitude publie le lieu où l'on se trouve, mais révèle par là même les endroits où l'on n'est pas. Les individus cherchant une excuse pour pénétrer dans l'entreprise peuvent faire usage de cette information en se rendant sur place et demandant à voir quelqu'un alors qu'ils savent que la personne n'est pas là.

Dans cette dernière situation, ils peuvent demander au réceptionniste d'imprimer un document dont ils auraient besoin pour leur entrevue avec la personne absente. Formé à l'accueil et à rendre service, le réceptionniste pourrait insérer une clé USB dans leur ordinateur pour procéder à l'impression, et laisser malgré lui entrer un malware créant une porte dérobée, volant des données ou bien propageant un code destructeur et ce, sans laisser de traces, explique-t-il.

Des risques difficiles à estimer

D'autres astuces réalisables « en personne » via des connaissances acquises sur les réseaux sociaux peuvent être dangereuses. Offrir un emploi dans l'entreprise et donner l'accès au réseau interne aux attaquants est un risque réel. Le meilleur moyen de bloquer de tels risques de sécurité reste d'éduquer les employés aux réseaux sociaux et d'étendre cette formation à leur activité personnelle sur ces derniers, selon Alan Lustiger. « En quoi un site web a-t-il besoin de connaître votre date d'anniversaire ? », déclare-t-il, indiquant que cela peut être utilisé pour déterminer et changer le mot de passe dans le but de voler l'identité. Les équipes de sécurité internes devraient prendre à leur charge de vérifier, par échantillonage, que les informations postées par les employés sur les réseaux sociaux ne risquent pas d'être utilisées pour porter atteinte à l'entreprise. Mais même dans ce cas, elle peut toujours être vulnérable. « C'est virtuellement impossible de se prémunir face à un attaquant ayant passé suffisamment de temps à se préparer en scrutant les réseaux sociaux ».

Crédit Photo : D.R.

T-Mobile authentifie de manière forte 15000 employés via leur mobile

L'opérateur mobile T-Mobile authentifie 15 000 collaborateurs via leurs téléphones mobiles. Les employés de T-Mobile

le 05/02/2013, par Jean Pierre Blettner, 341 mots

La cybercriminalité va faire l'objet d'un énième rapport du ministère...

Le ministère de l'intérieur entend mieux piloter la lutte contre la cybercriminalité. Le ministre de l'intérieur Manu

le 30/01/2013, par Jean Pierre Blettner, 222 mots

Mega déjà mis en cause pour violation de propriété intellectuelle

Le site de stockage et de partage de fichiers Mega a supprimé du contenu violant la propriété intellectuelle le

le 30/01/2013, par Véronique Arène et IDG News Service, 832 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...