Les Assises de la Sécurité 2009, Monaco. La présentation d’Alban Ondrejeck (Orange Business Services) a donné du grain à moudre aux réfractaires aux réseaux sociaux : le consultant y déroule une attaque par ingénierie sociale contre l’approche de la « question secrète », souvent mise en oeuvre par les services d’email en ligne.

L’attaque s’organise ainsi :

Usurpation de l’identité d’un ami n’ayant pas encore de compte sur un réseau social quelconque déjà utilisé par la victime (Facebook, LinkedIn, Viadeo, etc…). Pour la démonstration, l’ami en question est identifié via le service de Copains d’Avant (L’internaute).

Prise de contact sous cette identité via la plate-forme sociale afin d’accéder au profil privé de la cible.

Utilisation des informations communiquées sur le profil de la cible afin de deviner la réponse à la question secrète qui sera demandée par le fournisseur du compte email ou webmail visé.

Une fois l’accès au compte email de sa victime obtenu, l’attaquant dispose alors de toute latitude afin de changer une multitude de mots de passe et d’accéder à de nombreux services via les courriers de confirmation reçus à cette adresse (voir à ce sujet l’affaire du piratage du backoffice d’administration de Twitter).

Bien entendu, cela fonctionne et le risque est donc réel. Mais souvenons-nous que les réseaux sociaux ne sont ici qu’un outil, et non la fraude elle-même. Les puristes qui s’intéressaient il y a vingt ans aux fonds de poubelles pour ensuite décrocher leur téléphone ne faisaient déjà pas autre chose.

Les entreprises adressaient ce risque notamment en sensibilisant leurs utilisateurs à ce qu’ils pouvaient jeter à la poubelle, et non en interdisant ces dernières.

Sans pousser le parallèle jusqu’à considérer les réseaux sociaux comme les poubelles du XXI éme siècle (aussi grande puisse parfois être la tentation !), il semble malgré tout que la parade ne soit guère différente aujourd’hui.