Apr\u00e8s avoir analys\u00e9 les attaques cibl\u00e9es commises au cours des dix derni\u00e8res ann\u00e9es, nous avons constamment trouv\u00e9 une m\u00e9thode r\u00e9currente\u00a0: tout a commenc\u00e9 lorsque la victime a ouvert un e-mail d\u2019hame\u00e7onnage. Pourquoi ces e-mails d\u2019harponnage sont-ils si efficaces\u00a0? Parce qu\u2019ils sont personnalis\u00e9s, et adapt\u00e9s \u00e0 une victime en particulier.<\/p>\n
Les r\u00e9seaux sociaux des victimes sont souvent utilis\u00e9s comme source d\u2019informations. \u00c9videmment, ce constat am\u00e8ne la question suivante\u00a0: Comment\u00a0? Comment les criminels trouvent-ils ces comptes\u00a0? Dans une grande mesure, cela d\u00e9pend de la quantit\u00e9 d\u2019informations publiques disponibles sur la victime. C\u2019est assez simple si les donn\u00e9es de la personne figurent sur un site professionnel, avec peut-\u00eatre une biographie d\u00e9taill\u00e9e, et un lien qui renvoie \u00e0 un profil LinkedIn. Cependant, si les cybercriminels n\u2019ont qu\u2019une adresse e-mail, alors c\u2019est beaucoup plus compliqu\u00e9. S\u2019ils n\u2019ont qu\u2019une photo de vous en train d\u2019entrer dans l\u2019entreprise qu\u2019ils veulent attaquer, ils ont encore moins de chance de trouver votre profil sur les r\u00e9seaux sociaux.<\/p>\n
Nous avons r\u00e9alis\u00e9 une petite exp\u00e9rience qui consistait \u00e0 chercher des informations \u00e0 partir de bribes de donn\u00e9es. Nous avons donc choisi plusieurs coll\u00e8gues, tous avec diff\u00e9rents niveaux d\u2019activit\u00e9 sur les r\u00e9seaux sociaux, et nous avons essay\u00e9 de les retrouver en utilisant des outils de recherche largement disponibles.<\/p>\n
Recherche par photo<\/strong><\/p>\n Il n\u2019est pas courant d\u2019essayer de trouver quelqu\u2019un \u00e0 partir d\u2019une photo. Partons du principe que le cybercriminel se trouvait pr\u00e8s de l\u2019entr\u00e9e du b\u00e2timent de l\u2019entreprise prise pour cible, et prenait secr\u00e8tement en photo toutes les personnes ayant un logo en particulier sur leur badge\u00a0; il pouvait ensuite commencer \u00e0 chercher la victime parfaite pour faire de l\u2019harponnage. Par o\u00f9 commencer\u00a0?<\/p>\n Il y a deux ans (le temps passe si vite), nous avons \u00e9crit<\/a> un article sur le service FindFace. Dans certaines conditions, et selon la disponibilit\u00e9 de plusieurs images de qualit\u00e9 d\u2019un m\u00eame rep\u00e8re, ce service peut rapidement associer l\u2019image \u00e0 un compte de r\u00e9seau social. Cela \u00e9tant dit, les utilisateurs occasionnels ne peuvent plus acc\u00e9der \u00e0 ce service depuis juillet de l\u2019an dernier. Ses cr\u00e9ateurs ont \u00e9t\u00e9 tr\u00e8s occup\u00e9s \u00e0 d\u00e9velopper des solutions pour le gouvernement et les entreprises, et c\u2019est pourquoi ce service est d\u00e9sormais payant. De plus, ses cr\u00e9ateurs ont dit clairement que la version publique n\u2019\u00e9tait qu\u2019une \u00ab\u00a0d\u00e9monstration de ses fonctionnalit\u00e9s\u00a0\u00bb.<\/p>\n Cependant, ce service ne devrait pas \u00eatre laiss\u00e9 de c\u00f4t\u00e9. Les cybercriminels sont parfois pr\u00eats \u00e0 investir dans d\u2019autres outils pour r\u00e9aliser une attaque cibl\u00e9e. Tout d\u00e9pend de leur objectif, m\u00eame si cette option laisse forc\u00e9ment des traces non souhait\u00e9es.<\/p>\n La recherche par photo est disponible gratuitement comme service de Google, puisqu\u2019il propose une extension du navigateur qui fait une recherche photo, et examine automatiquement plusieurs services photos lors de ses recherches. Cependant, cette m\u00e9thode ne fonctionne que pour les photos d\u00e9j\u00e0 publi\u00e9es en ligne. Par cons\u00e9quent, cette technique n\u2019est pas valable dans cet exemple, sauf si une photo officielle a \u00e9t\u00e9 publi\u00e9e sur un site Internet. Ces photos sont g\u00e9n\u00e9ralement affich\u00e9es avec d\u2019autres informations (nom et pr\u00e9nom).<\/p>\n Nous avons tout de m\u00eame essay\u00e9 cette option de recherche. Google a r\u00e9ussi \u00e0 r\u00e9duire notre volontaire \u00e0 \u00ab\u00a0gentleman\u00a0\u00bb, m\u00eame s\u2019il utilise cette image comme photo de profil sur Facebook et d\u2019autres r\u00e9seaux sociaux. Nous pensons donc que m\u00eame si les cybercriminels ont une photo de vous, il est peu probable qu\u2019ils arrivent \u00e0 trouver votre profil sans utiliser un service payant de reconnaissance faciale.<\/p>\n Nom et pr\u00e9nom<\/strong><\/p>\n Lorsque vous recherchez quelqu\u2019un sur Internet, vous commencez g\u00e9n\u00e9ralement par son nom et son pr\u00e9nom. Il est \u00e9vident que la r\u00e9ussite de cette recherche d\u00e9pend fortement de la pr\u00e9valence du nom. Il pourrait \u00eatre difficile de trouver un John Smith en particulier. Mais Google trouve assez rapidement une personne qui s\u2019appelle \u00ab\u00a0Lurie\u00a0\u00bb (ce nom de famille n\u2019est pas si bizarre, mais n\u2019est pas non plus tr\u00e8s courant).<\/p>\n Au fait, saviez-vous que certains r\u00e9seaux sociaux vous laissent voir le profil d\u2019une personne sans que vous ayez \u00e0 cr\u00e9er un compte\u00a0?<\/p>\n E-mail et num\u00e9ro de t\u00e9l\u00e9phone<\/strong><\/p>\n Que se passe-t-il si les escrocs ont l\u2019adresse e-mail, ou le num\u00e9ro de t\u00e9l\u00e9phone de la victime\u00a0? Avec ces informations, ils peuvent passer directement \u00e0 l\u2019action, et faire une recherche sur tous les r\u00e9seaux sociaux, un par un. Certains services agr\u00e9gateurs collectent automatiquement les donn\u00e9es n\u00e9cessaires\u00a0; le plus connu est Pipl<\/a>, et il peut trouver les liens des pages de l\u2019utilisateur sur les r\u00e9seaux sociaux \u00e0 partir de son num\u00e9ro de t\u00e9l\u00e9phone, ou de son adresse e-mail, et ainsi fournir une courte biographie avec notamment le lieu de naissance, d\u2019\u00e9tude ou de travail. Si l\u2019on en croit les dires des d\u00e9veloppeurs de Pipl, ce service aurait des renseignements sur plus de 3 milliards de personnes ! Pseudonyme<\/strong><\/p>\n Certaines personnes utilisent un seul pseudonyme pour leurs adresses e-mail personnelles et professionnelles. D\u2019autres utilisent un pseudonyme pour leur vie priv\u00e9e en ligne, et ont aussi une adresse professionnelle. Lorsqu\u2019ils tombent entre les mains des cybercriminels, n\u2019importe quel pseudonyme peut \u00eatre utilis\u00e9 pour extraire encore plus d\u2019informations sur la victime vis\u00e9e.<\/p>\n Cette action peut \u00eatre r\u00e9alis\u00e9e en utilisant certaines ressources comme namechk<\/a> ou knowem<\/a>. Ce premier service peut localiser le nom d\u2019un compte dans plus de 100 services\u00a0; le second analyse plus de 500 ressources. Il est vrai que si le pseudonyme est assez commun, rien ne garantit que vous allez trouver une personne en particulier. Ce genre de service reste toutefois un outil tr\u00e8s utile pour les escrocs en ligne.<\/p>\n
\nGr\u00e2ce \u00e0 ce service, nous avons obtenu le lien d\u2019au moins un compte utilisateur sur cinq de dix personnes, et dans certains cas nous avons m\u00eame eu un surnom ou un pseudonyme.<\/p>\n