Accueil > Social Media > De l’utilisation de Facebook par un social hacker…

De l’utilisation de Facebook par un social hacker…

Lorsque j’ai vu cet article de Netragard intitulé « Facebook from the hackers perspective« , je n’imaginais pas (encore) à quel point une entreprise peut être rendue vulnérable par les réseaux sociaux dans lesquels participent ses salariés.

Deux experts de Netragard ont donc été mandatés par un client pour analyser et mesurer la sécurité de leur système d’information. Ils ont décidé d’utiliser Facebook, parmi d’autres plateformes sociales, pour réaliser leur attaque.

Les gens ont une tendance naturelle à faire confiance. Ces deux experts ont réussi chez 90% des personnes ciblées à inspirer cette confiance, uniquement parce que les personnes pensaient être entre salariés de la même entreprise.

Une préparation digne d’un commando

La cible de l’attaque étant d’arriver à pénétrer dans le réseau interne de l’entreprise, les hackers ont donc ciblé à la fois les réseaux sociaux (facebook, myspace …) et l’infrastructure informatique de la société (serveurs, pares-feu, routeurs …). Le support de l’attaque choisi était de type phishing, relayé par facebook.

La première étape à consisté à utiliser Facebook et d’autres outils comme Maltego and pipl.com, afin de retrouver les employées de cette société qui utilisaient Facebook.  L’analyse des réseaux sociaux leur a permis de trouver plus de 1400 salariés parmi lesquels 900 utilisaient facebook. En se concentrant sur 200 profils, les hackers ont pu extraire suffisamment d’information pour créer un faux employé.

La seconde étape à consisté à chercher une faille technique de type Cross-site Scripting sur un des serveurs du client. L’analyse technique des sites ciblés leur a permis de créer une fausse page web, identique à celle d’un site de leur cible, et qui prévenait les utilisateur que leurs identifiants avaient été compromis et qu’ils devaient les ressaisir. Bien sûr une fois saisis, ces données étaient enregistrées dans la base de données des hackeurs.

Suggestion de présentation... ou présentation suggestive ?

La troisième étape à consisté à créer un profil d’employé insoupçonnable sur facebook. Comme la majorité des salariés ciblés étaient des hommes de 20 à 40 ans, nos hackers ont décidé de créer une jolie employée de 28 ans.

Ils ajoutèrent une image glanée sur Google Images (la mienne est trop parfaite, pour le coup ça aurait vraiment eut l’air louche ;-)) et renseignèrent le profil par une combinaison d’informations obtenues des profils des vrais salariés.

Il ne restait plus qu’a se faire inviter dans le groupe facebook de la société ciblée, ce qui n’a visiblement pas posé de souci :  20 minutes après avoir été acceptée, la fausse employée a reçu des demandes des vrais employés pour devenir amis. De son coté, elle a lancé de nombreuses demandes.

Très vite la liste des amis à atteint la centaine de personnes, et notre fausse employée à commencé à participer aux discussions, sur des sujets liés au travail, pour lesquels les hackers avaient suffisamment de matière pour rester crédible.

Le passage à l’attaque

Après trois jours de conversation et d’échange de liens, les hackers ont publié un message innocent du type « Mince, je crois qu’on a été piraté ! »

Bien sûr le lien derrière ce message renvoyait vers la page spécialement préparée, et les gens ont suivi ce lien et « vérifié » leurs identifiants, ayant confiance dans sa source.

Les hackers utilisèrent ensuite ces identifiants pour accéder en web-VPN au réseau de l’entreprise, accédant ensuite à bon nombre de systèmes, comme l’annuaire Active Directory, un système de contrôle de pompes, un serveur central… attaque réussie!

Cette fois-ci l’attaque était commandité et voulue par l’entreprise elle même. Mais cela fait tout de même froid dans le dos, non ?

Cette menace est bien réelle, d’ailleurs la preuve récente sur le site de la banque HSBC : http://www.hsbc.fr/1/2/hsbc-france/securite-en-ligne/actualites

Consultez l’article original ici : http://snosoft.blogspot.com/2009/02/facebook-from-hackers-perspective.html

  1. Pas encore de commentaire
  1. Pas encore de trackbacks