L’arnaque est vieille comme les réseaux sociaux : en créant un faux profil au nom d’un ami commun il est plus facile de devenir ami avec un inconnu. Et ainsi avoir accès aux informations privées de son profil.

Mais elle prend une toute autre envergure lorsque l’on apprend que le faux profil en question était celui d’un amiral de l’US Navy et que les cibles étaient des cadres de haut rang de l’OTAN.

C’est en tout cas ce que rapporte le quotidien britannique The Guardian. Une opération d’espionnage a priori d’origine chinoise (notez le « a priori« …) aurait ainsi été menée contre des officiels de l’OTAN sur Facebook. Les attaquants auraient créé un faux profil au nom de l’Amiral américain James Stavridis (responsable des forces américaines en Europe) et auraient sous cette identité demandé en « amis » plusieurs hauts responsables de l’OTAN.

L’objectif est double : d’abord accéder aux éventuelles informations personnelles que les victimes ont pu indiquer sur leur profil (et qui sont généralement réservées aux amis). Mais aussi, et c’est là que la manipulation paie réellement, établir un contact de confiance afin de collecter des informations via des échanges de message privés, par exemple (bien qu’aborder des sujets confidentiels via la messagerie Facebook ne soit probablement pas dans la politique de sécurité de l’OTAN !)

Enfin, bien que ce ne soit pas mentionné ici, l’on peut imaginer qu’après avoir établi un tel contact il est beaucoup plus simple de convaincre les « amis » de cliquer sur un lien web piégé et ainsi introduire un code malveillant sur leur système.

L’affaire donne l’occasion de rappeler quelques principes utiles :

• Si vous n’êtes pas présents sur les réseaux sociaux il sera largement plus aisé d’y usurper votre identité (l’Amiral Stavridis est très actif sur Facebook et Twitter et cela à probablement contribué à détecter le pot-aux-roses rapidement)
• Il n’est pas nécessaire de renseigner tous les champs de son profil. C’est évidemment dans l’intérêt de la plate-forme sociale de collecter un maximum d’informations personnelles sur ses membres, mais quel est l’intérêt pour ces derniers de sagement remplir tout leur profil ? Numéro de téléphone mobile, date et lieu de naissance, préférences diverses, religion… autant d’informations qui pourront être exploitées ultérieurement par un attaquant. Autant ne pas lui faciliter la tâche.
• Une règle d’Or : n’accepter en « ami » que des personnes que l’on a rencontrées réellement. Les exceptions doivent être rares et motivées.
• Un peu de paranoïa ne fait pas de mal : lorsque une connaissance avec laquelle on est déjà « ami » sur un réseau social renvoie une demande de contact, il est bon de vérifier si son compte précédent existe toujours, et de lui demander confirmation via un autre canal (email, téléphone…). De même pour les demandes d’amitiés non-sollicitées en provenance de personne que l’on croise occasionnellement.
• Il est possible de compartimenter ses amis en listes, ne montrant d’éventuelles informations plus personnelles qu’à un groupe réduit d’amis proches.