Les amis, Les ennemis et Facebook : La nouveLLe Lutte contre Les escrocsGeorGe Petre, tuDor FLorescu, ioana JeLea

3

table des matièresauteurs et collaborateurs bitdefender . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

1 . vue d’ensemble des vulnérabilités des réseaux sociaux . . . . . . . . . . . . . . . . . . . . 6

2 . Que peut-il exactement se produire ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

2.1. Vol de données et dissémination de malwares . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

2.2. Les attaques ciblées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

2.3. Détournement de contenus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

3 . Qui a le droit de faire quoi ? Les systèmes d’autorisation des réseaux sociaux 12

3.1. Les permissions Facebook . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

3.2. Les nouvelles permissions – Un pas de plus vers l’interactivité sur Facebook . . 15

4 . mécanismes d’attaque sur Facebook . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

4.1. Techniques de détournement de comptes utilisant des fonctions spécifiques de Facebook 18

a) Le détournement du “J’aime” : le likejacking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

b) Le détournement de tag : le tagjacking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

c) Le détournement d’événement : l’eventjacking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

d) Les fausses notifications d’administration de page . . . . . . . . . . . . . . . . . . . . . . . . . 21

4.2. Arnaques copier/coller d’un Java Script . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

4.3. Phishing via de fausses pages de connexion . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

4.4. Détournement de session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

4.5. Malware sur les réseaux sociaux – Etude d’un cas : le cheval de Troie . . . . . . . 25

5 . Quel est le niveau d’efficacité des attaques contre les réseaux sociaux ? . . . . 26

Découvre qui a consulté ton profil. Une très courte étude de cas . . . . . . . . . . . . . . . . . 27

6 . Les changements à venir . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

7 . conclusions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

8 . règles à suivre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

a. Politique du mot de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

b. Supprimez les cookies après déconnexion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

c. Utilisez des connexions cryptées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

d. Activez toutes les notifications de connexion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

e. Soyez prêt en cas de détournement de compte . . . . . . . . . . . . . . . . . . . . . . . . . . 34

f. Protégez vos informations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

g. Sélectionnez avec discernement quelles informations vous publiez . . . . . . . . . . . 35

4

auteurs et collaborateurs bitdefenderauteurs :

George Petre – Responsable produits, Sécurité des réseaux sociaux

Tudor Florescu – Analyste des menaces en ligne

Loana Jelea – Spécialiste en communication et analyse des menaces sur le Web

contributeurs :

Loredana Botezatu – Spécialiste en communication et des menaces sur le Web

Razvan Livintz – Spécialiste en communication et des menaces sur le Web

Doina Cosovan – Analyste antivirus

Razvan Benchea – Analyste antivirus

5

résumé Au moment où les e-menaces ciblant les réseaux sociaux en ligne ont dépassé le stade de simple curiosité et progressent sur le front de la sécurité des données, nous les considérons comme un vecteur de cyber-attaques conçues pour le vol de données personnelles.

A l’heure où plus de 800 millions de personnes s’activent désormais sur le plus important réseau social à ce jour, la manière dont les informations sont échangées et/ou protégées dans ce type d’environnement est devenue l’un des principaux enjeux de la sécurité des données.

Ces dernières semaines, les préoccupations des utilisateurs sont centrées autour à des changements à venir ou déjà implémentés par Facebook. Après la mise à jour des Contrôles de la confidentialité et l’introduction discrète des Smart Lists, la Conférence f8 a fait passer l’utilisation et la confidentialité à un autre niveau, en introduisant les Abonnés, le News Ticker et un ravalement du Mur, sans oublier les deux changements vedettes – le Timeline et les nouvelles fonctionnalités de Open Graph.

Ces nouvelles fonctionnalités ont pour dessein d’augmenter les interactions entre utilisateurs, mais elles engendrent également une nouvelle dimension aux problèmes de confidentialité et de sécurité des données personnelles. A elle seule, la mise à jour de Timeline est susceptible de donner un nouveau sens au concept même de vie privée puisque les moindres détails de la vie des utilisateurs peuvent désormais être partagés et catalogués. En outre, App Ticker rend plus facile aux utilisateurs de voir à quelles applications leurs amis ont eu accès, ce qui peut avoir des conséquences sur la rapidité avec laquelle une arnaque se répand à partir du moment où la personne à qui l’on fait confiance est elle-même tombée dans le panneau.

Avant même ces changements, Facebook était constamment la cible d’arnaques dues à sa popularité et son énorme réservoir d’utilisateurs. Les escroqueries classiques n’ont pas pour autant disparu, ce qui fait que ces changements sont susceptibles d’ajouter de la variété, et, comme il en sera question plus loin, de l’efficacité, à un phénomène bien installé sur le réseau social .

Un autre aspect important à considérer est que la présence sur un réseau social est aussi un outil important de publicité personnelle à partir de laquelle des chercheurs d’emplois peuvent être jugés au cours d’un processus de recrutement. D’autre part, une fois que les candidats à un emploi sont recrutés, leurs comptes, et toutes les données qu’ils contiennent sur leur activité, peuvent être utilisés par les cybercriminels pour concevoir des attaques ciblées contre les entreprises concernées.

Ce document a donc pour but de faire la lumière sur les menaces sociales du Net et de proposer des recommandations pour les utilisateurs afin de leur éviter d’être victimes d’attaques cybercriminelles sur un réseau social. Bien que son objectif soit de fournir une vue d’ensemble des réseaux (plateformes et applications), ce livre blanc s’intéresse particulièrement à Facebook, le plus important acteur dans ce domaine. Les découvertes présentées dans ce document proviennent essentiellement de Bitdefender Safego, un outil gratuit conçu pour protéger les comptes des réseaux sociaux contre les menaces visant les utilisateurs de Facebook et de Twitter. Safego protège actuellement plus de 100.000 utilisateurs de Facebook dans le monde.

6

1 . vue d’ensemble des vulnérabilités des réseaux sociaux

7

Tous les sites Web de réseaux sociaux ont leurs faiblesses et des bugs, qu’il s’agisse de problèmes d’enregistrement/connexion, des possibilités de cross-site scripting (XSS) ou des vulnérabilités de Java que les intrus peuvent exploiter. Un simple cheval de Troie dropper, qu’un attaquant dissimule dans un widget ou une bannière de pub sur la page de l’utilisateur, peut pénétrer furtivement dans un système insuffisamment protégé. Quand un utilisateur accède à un site commercial en ligne à partir de la machine compromise, le cheval de Troie peut s’emparer de son nom d’utilisateur et de son mot de passe, du numéro de sa carte bancaire et d’autres données sensibles, et les envoyer à l’attaquant à distance.

A l’heure actuelle, les réseaux sociaux comptent parmi les quelques applications qui ne dépendent pas d’une plateforme particulière, en d’autres termes, les réseaux sociaux peuvent fonctionner sur n’importe quel ordinateur possédant un navigateur assez récent, aussi bien que sur toutes les principales plateformes mobiles : iOS, Android, Symbian et Windows. D’autre part, tandis que les réseaux sociaux, comme Facebook, possèdent leur propre nuage sécurisé dans lequel ils conservent les données personnelles de leurs utilisateurs, de nombreuses applications tierces incontrôlées ont accès à ces informations sensibles (dès que l’utilisateur en donne l’autorisation lors de l’installation de l’application), qui sont alors stockées dans le propre nuage de ces applications. Il n’existe aucun moyen de contrôler ce qu’il advient des données une fois qu’elles se trouvent dans le nuage privé d’une application.

8

2 . Que peut-il exactement se produire ?Les réseaux sociaux en tant que vecteurs d’attaques

9

Les plateformes de réseaux sociaux sont ciblées par les cybercriminels en raison des millions de contacts, d’adresses électroniques, de photos et autres données sensibles qu’ils contiennent. En effet, les réseaux sociaux incitent les utilisateurs à rendre publiques le maximum de données personnelles dans la mesure où le paramètre par défaut de la vie privée est “Publique”.

Le fait que des données confidentielles puissent facilement être transférées du nuage du réseau social vers celui de parties tierces rend leur vol facile. Il arrive souvent qu’une application légitime, qui effectue exactement ce qu’indique sa description, soit utilisée comme un parfait outil de vol de données personnelles. Par exemple, une application ludique apparemment inoffensive, promettant à l’utilisateur de lui faire connaître ce que son nom révèle de son caractère, sollicite de multiples permissions et taggue illicitement tous les amis de l’utilisateur .

Dans ce cas, la possibilité de tagguer assure une large audience à cette arnaque et peut ouvrir la voie au vol de toutes les données personnelles des personnes visées. Leur adresse électronique peut devenir à elle seule une source de profit sur le marché du spam.

Cette escroquerie peut se disséminer auprès d’un nombre impressionnant de membres des réseaux sociaux. Un bon exemple est l’arnaque “Découvre qui a consulté votre profil”, qui promet d’indiquer à la victime combien de personnes ont consulté son profil. D’après les données réunies par Bitdefender Safego, cette arnaque comprend en moyenne 286 URL uniques par vague, 14 applications Facebook uniques, 1.411.743 clics collectés et un pic de diffusion de chaque URL atteint au bout de 34 heures.

2 .1 . vol de données et dissémination de malwares

Fig. 1 – Message publicitaire de l’application ludique

10

Les ennuis des médias sociaux ne s’arrêtent pas là. De nombreuses pages Web de réseaux sociaux peuvent fournir une plateforme idéale et rentable de distribution de virus, vers et bots, chevaux de Troie, rootkits, spyware, adware, grayware, faux logiciels de sécurité, et d’autres catégories de malwares. Ou bien encore, un bout de code peut être ajouté à chaque page de chaque utilisateur, de telle manière qu’à chaque fois que l’utilisateur s’y connecte, un bot est immédiatement téléchargé dans le système, transformant l’ordinateur non protégé en “zombie” (une machine compromise intégrée dans un plus grand réseau de machines infectées, appelé botnet, qu’un attaquant contrôle à distance).

Fig. 2 – Liste des permissions demandées

11

La liste d’amis de l’utilisateur (comprise dans les informations rendues accessibles au développeur de l’application grâce à l’autorisation “Accéder à mes informations de base”) peut être exploitée par les attaquants. Un intrus peut réunir des données sur la taille de l’organisation pour laquelle travaille la personne concernée, sa hiérarchie, son expérience et son niveau de connaissances informatiques, etc. Ces informations peuvent localiser un employé qui peut être conduit à révéler des données encore plus sensibles ouvrant ainsi une porte dérobée dans le réseau de l’entreprise.

D’autres scénarios associant différentes stratégies sont également possibles. Avec des techniques d’ingénierie sociale très polyvalentes, les attaquants peuvent utiliser un réseau en ligne professionnel pour cibler les employés qui, sans être nécessairement des experts de la sécurité, peuvent avoir accès aux ressources des données essentielles du réseau de leur organisation .

Envisageons l’hypothétique scénario d’une attaque consistant à persuader la victime sans suspicion de communiquer des données sensibles par e-mail. Peaufiner soigneusement le message pour lui donner l’apparence d’un message légitime (émanant du PDG, par exemple) a des chances de porter ses fruits. Si le message contient un fichier PDF attaché, chargé de malwares, et que l’employé l’ouvre, le pirate accède au réseau de l’organisation et en extrait les données qui l’intéressent.

Fig. 3 – Tous les amis de l’utilisateur sont automatiquement taggués.

2 .2 . Les attaques cibléesLes messages, commentaires et vidéos peuvent être transformés en adware et spyware non sollicités. A défaut de renforcer les mesures de sécurité et de consacrer des efforts constants pour préserver l’intégrité des contenus affichés, les pages, les groupes et les profils des réseaux sociaux peuvent être usurpés, voire détournés.

2 .3 . Détournement de contenus

12

3 . Qui a le droit de faire quoi ?Les systèmes d’autorisationdes réseaux sociaux

13

Les réseaux sociaux les plus importants ont développé des plateformes permettant à des développeurs tiers de créer des applications ciblant leurs membres. Pour pouvoir s’installer et fonctionner sur les comptes utilisateurs, ces applications doivent avoir accès à différents types de données à l’intérieur du compte, en fonction d’une série d’autorisations. Chaque autorisation (telle qu’elle apparaît à l’utilisateur dans la boîte Demande de permission reproduite ici) correspond à plusieurs catégories de données. Par exemple, en sélectionnant “Accéder à mes informations de base”, l’utilisateur peut autoriser l’accès à toute une série d’informations personnelles, comme sa liste d’amis, ou toute autre information partagée par tous. La possibilité de sélectionner à quel type d’informations on donne accès n’existant pas, l’utilisateur n’est pas réellement conscient des données effectivement exposées. Un attaquant utilisant une application manipulatrice peut s’emparer de toutes les informations existantes.

3 .1 . Les permissions FacebookFig. 4 – La page Demande de permission d’une application. Accéder

à mes données de base inclut : nom d’utilisateur, photo du profil, sexe, réseaux, identifiant de l’utilisateur, et toute autre information

que l’utilisateur a partagée avec tous.

Facebook étant le réseau social le plus populaire, cette section va examiner son système d’autorisations et les risques menaçant les données personnelles de l’utilisateur. La liste complète des permissions, vue du côté du développeur de l’application, comme les données associées auxquelles ces permissions donnent accès, peut être consultée ici .

14

Que va-t-il se passer du côté de l’utilisateur ? Voici quelques exemples de détournement d’autorisations à des fins de vol de données personnelles.

m’envoyer des messages électroniques . Les applications des réseaux sociaux tournent dans les “nuages”, ce qui signifie qu’elles utilisent leur propre nuage (les applications Facebook ne sont pas développées par Facebook sauf avis contraire). Il est impossible de contrôler le devenir des données une fois dans le nuage . Ce qui veut dire que les adresses électroniques peuvent tomber entre les mains de spammeurs. Facebook offre à ses usagers la possibilité de cacher leur véritable adresse électronique et d’en utiliser une qui soit temporaire pour chaque application. Cependant, cette option n’est pas activée par défaut et est destinée à bloquer de futures vagues de spams, quand l’utilisateur a supprimé une application ou l’a signalée comme génératrice de spams.

accéder à mes informations de base . Avec les adresses électroniques, les informations de base de l’utilisateur peuvent aider les spammeurs à créer des messages personnalisés qui exploitent les goûts, les centres d’intérêt, etc… exprimés par l’utilisateur. Ces deux autorisations peuvent être abusives, mais elles sont nécessaires au fonctionnement de nombreuses applications légitimes qui ont besoin de pouvoir identifier avec certitude les utilisateurs pour rester en communication avec eux.

Gérer mes pages . Cette autorisation peut devenir un outil dangereux dans de mauvaises mains car elle permet de récupérer les droits d’administration des pages que l’utilisateur administre. En conséquence, la fausse application ayant sollicité cette permission peut commencer à poster des messages automatiques (provenant en apparence de l’utilisateur légitime) sur toute page administrée par la victime.

Publier sur mon mur . Les applications truquées vont utiliser cette permission pour inonder le mur de l’utilisateur et ceux de ses amis avec des contenus non sollicités qu’il diffuse. Les applications légitimes vont utiliser cette permission pour afficher les informations intéressantes ou utiles que l’utilisateur a expressément accepté de recevoir et de lire (des statistiques par exemple).

accéder à mes données en permanence . Cette autorisation peut permettre aux créateurs d’applications truquées d’envoyer leurs messages au bon moment, sans risque de les voir effacés par le détenteur du compte. Quand cette autorisation n’est pas demandée, l’application ne peut interagir avec le compte de l’utilisateur que lorsque ce dernier est connecté. En général, à moins que l’application ne soit un jeu, les utilisateurs ne seront connectés qu’un court moment. Si l’application peut avoir accès à tout moment aux données de l’utilisateur, dès que l’inoffensif contenu initial s’est assuré une large audience, il sera plus facile au créateur de l’application d’introduire le contenu nocif, au moment où ses agissements peuvent ne pas être remarqués par l’utilisateur.

Comme une application ne peut solliciter qu’un ensemble fixe de permissions, le défi pour l’utilisateur est de trouver le moyen de distinguer les bonnes applications des mauvaises.

Une solution pour l’utilisateur est d’examiner attentivement ce que l’application promet de fournir et le degré de vraisemblance de la promesse (“Découvre qui a consulté ton profil”, “Mon tout premier statut sur Facebook», par exemple, sont des appâts rentables pour les applications truquées). Une simple recherche sur Internet peut dissiper des doutes sur la légitimité d’une application.

15

Les récents changements de la structure des comptes Facebook, annoncés à la conférence f8 en septembre 2011, offrent aux développeurs les autorisations nécessaires pour rendre les messages générés par les applications plus visibles sur le nouveau profil de l’utilisateur (appelé Timeline). En introduisant le concept de “widget”, Facebook permet pratiquement aux développeurs d’agir sur différents objets, ce qui porte les interactions à un tout autre niveau. Jusqu’à maintenant, toute personne possédant une application installée interagissait avec ses amis à l’intérieur de cette application. Désormais, l’application se trouve sur le mur de l’utilisateur, ce qui fait que toute personne interagissant avec le profil de l’utilisateur interagit avec l’application.

Etant donnée la courte durée de vie des applications générant des spams, ceci pourrait stimuler leur efficacité. Cependant, compte tenu du fait que la caractéristique est récente, il va probablement se passer un peu de temps avant que les spammeurs l’exploitent à fond.

Facebook va également adapter le flux des demandes d’autorisation en fonction des changements récents. Ce qui signifie qu’il sera d’abord demandé aux utilisateurs d’autoriser un ensemble de permissions essentielles, incluant E-mail and Publish Stream (ce qui permet à l’application d’accéder à la Timeline) ; la liste étendue d’autorisations (certaines d’entre elles ayant été décrites plus haut) apparaîtra dans une seconde page de dialogue. Facebook propose maintenant aux utilisateurs la possibilité d’annuler n’importe quelle autorisation figurant dans la liste étendue, ce qui leur offre théoriquement plus de contrôle sur les informations auxquelles ils autorisent l’accès et sur les initiatives que les applications peuvent prendre.

3 .2 . Les nouvelles permissions – un pas de plus vers l’interactivité sur Facebook

16

4 . mécanismes d’attaque sur Facebook

17

Une application véhiculant une arnaque poste automatiquement des messages sur le mur de la victime et sur celui de ses amis, de manière à inciter le plus possible de personnes à cliquer, ce qui lui permet de se disséminer plus rapidement. Des messages aguicheurs (utilisé comme de véritables appâts) liés à des actions spécifiques qui déclenchent les réflexes de l’utilisateur (allant d’un simple clic, à un tag, voire à la création d’un événement) constituent l’arnaque sociale parfaite.

Un seul clic, et les utilisateurs voient leur compte inondé de messages truqués envoyés automatiquement, comme dans l’image ci-dessous.

Fig. 5 Variantes de l’arnaque du type “qui a consulté votre profil”

Fig. 6 – Envoi automatique de messages

18

4 .1 . techniques de détournement de comptes utilisant des fonctions spécifiques de Facebook

a) Le détournement du “J’aime” : le likejacking Après avoir cliqué sur un lien pour voir le contenu d’une vidéo au titre scandaleux ou choquant, la victime va découvrir qu’un message a été posté automatiquement sur son mur, disant qu’il a AIMÉ ce lien. Comment est-ce possible ? Un script Java installe un bouton “J’aime” invisible sous le bouton Voir la vidéo. L’utilisateur clique pour regarder la vidéo, sans se rendre compte qu’il “aime” la vidéo.

Cette menace a évolué d’une manière intéressante. Au départ, le mécanisme “J’aime” de Facebook consistait en une ligne s’affichant sous l’en-tête “Activité récente” de la page Profil de l’utilisateur.

Ensuite, la plateforme a amélioré le mécanisme viral de ce bouton, en rendant son résultat semblable à celle de la fonction “Partager”. Autrement dit, tous les “J’aime” s’affichent maintenant sur le mur avec une vignette et une brève description.

Fig. 7 – Message de détournement de “J’aime”

19

b) Le détournement de tag : le tagjackingCette technique utilise l’option tag fournie par la plateforme sociale. Après avoir été incité à cliquer sur un lien vers un contenu vidéo, la victime va découvrir qu’une photo a été ajoutée à sa galerie et que tous ses amis ont été taggués sur cette photo.

Le phénomène du détournement des tags est basé sur un mécanisme de diffusion extrêmement infectieux, qui permet d’assurer une plus large audience au message, comme illustré ci-dessous :

AMI A (a cliqué sur le lien) -> AMI B* (récupère un message sur le mur lui disant qu’il a été taggué, il cliquera sur le lien ou non) -> AMI C* (voit le message concernant le tag de B et peut avoir accès au lien malveillant même si B n’a pas cliqué dessus)

*B est l’ami de A et C est l’ami de B.

Fig.8 Détournement de tag – première étape

Fig. 9 - Détournement de tag – deuxième étape

20

c) Le détournement d’événement : l’eventjackingCette arnaque consiste à la création d’un faux événement pour inciter les utilisateurs à cliquer et disséminer une application nuisible. Par exemple, vous êtes invité à assister au prétendu lancement de l’application OFFICIELLE “Découvre ceux qui ont consulté ton profil”.

Dans tous les cas évoqués jusqu’ici, à partir du moment où ils se sont assurés une audience de façon illicite, les cybercriminels peuvent remplacer le contenu inoffensif du départ (le plus souvent un film) par des éléments malveillants. Le message automatique resté sur le mur de l’utilisateur pour que tout le monde puisse le voir, peut se transformer en un contenu qui met les données en danger : des pages de phishing ou, pire, du malware déguisé en plugins utiles.

Fig. 10 – Message annonçant un faux événement

Fig. 11 – Page annonçant un faux événement

21

d) Les fausses notifications d’administration de pageLes arnaqueurs créent une fausse fanpage Facebook et un onglet customisé. Celui-ci, qui est utilisé comme “landing page” par les escrocs (ce qui signifie que tous les utilisateurs atterrissent sur cette page quand ils cliquent sur le lien), est intégré un lien de redirection. Pour promouvoir la page, les arnaqueurs ajouteront de nombreux utilisateurs sur Facebook en tant qu’administrateurs de la page malveillante. Quand les utilisateurs sont désignés comme tels, ils reçoivent un e-mail les notifiant au sujet de leur “nouveau statut social».

A la réception de cette notification, les utilisateurs, attisés par la curiosité, cliqueront sur le lien parce qu’ils ne connaissent pas cette page ou ils ne se souviennent pas avoir déjà pris part à cette création de fanpage. Quand ils atterrissent ensuite sur la fausse page Facebook, ils sont redirigés vers une page malveillante. Dans la variante identifiée dans cet exemple, la page malveillante est utilisée pour collecter les données personnelles des victimes (adresses électroniques et adresses de livraison).

Fig. 12 – Notification adressée à des utilisateurs soi-disant nommés administrateurs d’une page Facebook

Fig. 13 – Message affiché sur la page web malveillante vers laquelle les utilisateurs ont été redirigés

22

Certaines applications promettant de fournir des statistiques (par exemple “qui a consulté votre profil”, “qui vous a bloqué”, “qui est votre plus grand admirateur”, etc.), de vous permettre d’accéder à des contenus choquants, ou même d’éviter de perdre une fonction spécifique de Facebook (par exemple “récupérer un ancien profil”, “confirmer que le compte est actif”, etc.), nécessitent de coller un script Java dans le navigateur de l’utilisateur.

Une fois dans le navigateur, le code peut accéder aux contrôles Facebook avec les privilèges de l’utilisateur et il diffusera cette arnaque en utilisant les API Facebook comme des messages, des invitations et des envois de messages sur le mur des amis .

4 .2 . arnaques copier/coller d’un Java script

Fig. 15 – Exemple d’instructions de type “copier/coller le code”

Fig. 14 Exemple d’une arnaque qui repose sur le mécanisme du copier/coller. Dans ce cas précis, le mécanisme viral est renforcé par les citations des amis ayant participé à une discussion au sujet de la prétendue trouvaille mise à disposition par l’application.

23

Le phishing est une méthode illicite qui consiste à récupérer le nom des utilisateurs, leurs mots de passe ou leurs numéros de cartes bancaires en créant une contrefaçon d’une page web d’un organisme de confiance. Les appâts du phishing sont généralement envoyés par e-mail ou messagerie instantanée. Une fois l’utilisateur connecté au réseau social, aucune application ne doit lui redemander le mot de passe de son compte. La recherche d’indicateurs spécifiques de la légitimité d’une page aide les utilisateurs à ne pas tomber dans les filets du phishing :

1 . La page URL doit être orthographiée correctement et utiliser une connexion sécurisée pour l’identification (le préfixe https:// doit apparaître dans la barre d’adresse) .

2 . L’année qui suit les éléments du copyright doit être correcte.

3 . La page Facebook authentique offre aux utilisateurs la possibilité de se connecter en utilisant leur langue maternelle .

4 . La page trafiquée ne contient pas toutes les options de l’authentique page Facebook. Le vol de mot de passe n’est qu’un des moyens de prendre le contrôle d’une page de Facebook. Le compte peut aussi être piraté via une application quand l’utilisateur légitime est connecté.

Afin de prendre le contrôle d’une page Facebook, dérober le mot de passe reste une option parmi d’autres. Le compte peut être détourné par le biais d’une application alors que le propriétaire légitime du compte est connecté à Facebook.

4 .3 . Phishing via de fausses pages de connexion

Fig. 16 – Page Facebook authentique

Fig. 17 Page Facebook trafiquée

24

Peu de temps après que Firesheep ait provoqué un buzz médiatique, Facebook a permis à ses utilisateurs de naviguer sur le réseau au moyen d’une connexion sécurisée, à chaque fois que cela était possible . Ce qui a constitué une importante étape vers des échanges plus sûrs, même si le téléchargement d’une application non-SSL forçait les utilisateurs à revenir à une connexion non sécurisée.

Le 19 avril 2011, Facebook a encore amélioré le support SSL en introduisant l’option du retour automatique, tainsi que d’autres fonctions de sécurité . D’autre part, la feuille de route de la plateforme Facebook a fixé au 1er octobre 2011 la date d’implémentation du support SSL des applications Canvas .

Même si Facebook a fait beaucoup de progrès en intégrant le support SSL, la plupart des utilisateurs n’ont toujours pas recours à la sécurisation de leur navigation et même les pages les plus populaires n’offrent pas le support SSL complet. Le faible taux d’adoption de SSL peut indiquer une méconnaissance des avantages qu’offre cette pratique. En outre, cette option n’est pas activée par défaut.

4 .4 . Détournement de session Sur un réseau indigne de confiance, les utilisateurs qui naviguent sans outil de sécurité peuvent être victimes d’un détournement de session. Firesheep, l’extension de Firefox, a été créée pour mettre cette vulnérabilité en évidence et faire prendre conscience aux utilisateurs de l’importance de naviguer avec une connexion SSL.

Une description complète de cette situation est disponible ici .

25

Trojan.FakeAV.LVT possède un composant d’un faux antivirus innovant. Les fausses solutions antivirus piègent généralement les utilisateurs par le biais de pop-up prétendant que le PC est infecté par un malware. Ce cheval de Troie commence par diffuser des messages d’alerte personnalisés semblables à ceux de la solution antivirus qu’il a trouvé installée dans le système. Le code malveillant détecte quel antivirus utilisateur sur l’ordinateur et quel langage d’interface a été sélectionné par la cible, et peut ainsi imiter les légendes, les icônes et les messages correspondant aux paramètres personnalisés de l’antivirus installé.

4 .5 . malware sur les réseaux sociaux – etude d’un cas : le cheval de troie Le cas de Trojan.FakeAV.LVT donne une dimension nouvelle à l’ingénierie sociale. Son déploiement est extrêmement complexe : dans une fenêtre de chat Facebook, un ami engage une conversation avec la personne ciblée. La conversation débute par des questions comme “Salut, comment vas-tu ?”, “Est-ce toi dans cette vidéo ?” ou “Tu veux voir ?”, suivies d’un lien vers une vidéo censée représenter la personne ciblée.

Un clic sur le lien fait apparaître une page YouTube contenant une vidéo avec le nom de la cible en titre (directement sorti de son profil Facebook). En plus, quelques amis de la cible (dont les noms sont pris dans la liste d’amis Facebook) sont présentés comme ayant fait des commentaires sur la vidéo .

Si la cible clique pour voir le film, il ou elle sera invité(e) à télécharger une nouvelle version de Flash Player, parce que la version actuellement installée est “périmée”. En réalité, le téléchargement installe un cheval de Troie sur le PC de l’utilisateur .

Le code malveillant s’ajoute à la liste du pare-feu des applications autorisées, et il arrive que le pare-feu soit lui-même désactivé. Toutes les notifications produites par le pare-feu et l’antivirus installés sur le PC seront désactivées, dépouillant le système de toute protection. Le cheval de Troie affiche une fenêtre d’avertissement et demande un redémarrage du système pour détruire le prétendu virus. Un mécanisme de mise à jour complexe permet au code malveillant de rester inaperçu et d’ajouter en permanence de nouveaux composants de malware.

Fig. 18 – Page diffusant la vidéo censée montrer la victime, avec des commentaires apparemment émis par ses amis.

26

5. Quel est le niveau d’efficacité des attaques contre les réseaux sociaux ?

27

On dit que les arnaques atteignent les utilisateurs par vagues. Une vague est composée de plusieurs URL conduisant vers des applications possédant des fonctionnalités presque identiques, se diffusant à l’aide d’un message quasi identique, pendant une courte durée.

Le succès d’une vague d’arnaques repose sur l’association entre ingénierie sociale et puissance virale. Les appâts qui reposent sur le même sujet (par exemple le très populaire “Découvre qui a consulté ton profil”) sont conçus pour déclencher les réactions émotionnelles recherchées et concerner une grande quantité de cibles .

Les effets viraux sont obtenus en favorisant les mécanismes de diffusion utilisant des fonctionnalités altérées de la plateforme, comme dans le cas du détournement de tag (voir b) Détournement de tag).

Les résultats peuvent être impressionnants.

Découvre qui a consulté ton profil. Une très courte étude de cas • 286 URL uniques par vague, en moyenne.

• 14 applications Facebook uniques, en moyenne. (apps.facebook.com/app_uniq)

• 1.411.743 clics collectés (selon les services de raccourcissement d’URL)

• Pic de diffusion de chaque URL atteint au bout de 34 heures.

Fig. 19 – L’ingénierie sociale à l’œuvre dans des variantes du “Découvre qui a consulté ton profil”.

28

6 . Les changements à venir

29

Septembre 2011 a vu de multiples changements sur Facebook. Au moment où les nouvelles fonctions augmentent les interactions entre utilisateurs, les problèmes de confidentialité et de sécurité ont atteint de nouvelles dimensions. Il existe au moins cinq nouvelles voies ouvertes aux attaquants :

1 . Les smart Lists (listes automatiques d’amis) vont pousser les utilisateurs à partager plus d’informations publiquement apportant ainsi de nouvelles munitions pour des attaques ciblées .

La liste intelligente encourage les utilisateurs à compléter leur profil en indiquant leur emploi, leurs études et leurs projets professionnels. À chaque fois que quelqu’un crée une liste de collègues issus d’un emploi donné, cela apparaît dans son profil. En général, il ne s’agit pas d’informations confidentielles et les utilisateurs peuvent accepter ou non ces informations. Cependant, rendre ces informations publiques et indexables facilite l’élaboration d’attaques ciblées de haut niveau . Les attaquants savent exactement qui travaille dans une entreprise donnée, leur poste et, plus important encore, sur quel projet ils travaillent. Rappelons que le réseau compte 800 millions d’utilisateurs.

2 . avec les abonnés, le nombre de spambots pourrait augmenter, exactement comme sur twitter .

La principale différence entre les attaques sur Facebook et celles sur Twitter est que Facebook a de nombreux comptes piratés alors que Twitter est envahi de spambots. Avec la nouvelle fonctionnalité “Subscribers”, Facebook ouvre la voie aux spambots et aux arnaques pour “obtenir plus de subscribers”. Copier les fonctionnalités de Twitter peut également se traduire par l’importation de ses arnaques de type scams.

Fig. 20 – Tagguer des personnes dans Smart Lists

30

3 . tout ce que vous avez un jour partagé sur Facebook est désormais disponible et facile à consulter .

Tout ce que vous avez partagé sur Facebook est désormais disponible et facile d’accès. La “Timeline” est une révolution en termes de convivialité mais elle signifie également que notre vie ‘complète’ devient publique. Si l’utilisateur ne modifie pas les paramètres par défaut afin de limiter l’accès à son mur, son histoire sera visible par tous : amis, photos, endroits où il est allé, relations et plus encore. Cette option était déjà disponible mais n’était pas si simple d’utilisation auparavant.

4 . La santé est devenue sociale . . . et publique .La “Timeline” de Facebook considère que la santé est un sujet public. Il est désormais facile de partager des informations liées à sa santé comme une fracture, une opération chirurgicale ou une maladie. L’aspect le plus dérangeant ici est que ces informations sont considérées par défaut comme étant “publiques”.

5 . Widgets . . . une invitation aux arnaques interactivesFacebook introduit le concept de “widget” dans sa nouvelle “Timeline”. Cela permet aux développeurs d’agir sur plusieurs objets et place l’interaction à un niveau totalement différent. Jusqu’à présent, les personnes ayant une application d’installée interagissaient avec leurs amis à l’intérieur de l’application. Celle-ci se trouve désormais sur le mur de l’utilisateur, ce qui signifie que toute personne interagissant avec le profil utilisateur interagit avec l’application.

Fig. 21 – Ajouter un événement médical

Fig. 22 – Publier un événement médical, paramétré sur Public par défaut

Compte tenu de la durée de vie limitée des applications de spam, cela pourrait accroître considérablement leur efficacité. Bien sûr, la fonctionnalité vient d’être lancée, et cela pourra prendre quelque temps avant que les scammeurs ne l’exploitent. Mais toutes les fonctionnalités virales réussies ont finalement été exploitées par les scammeurs des média sociaux.

31

7 . conclusions

32

Si l’on réfléchit à la nature des menaces analysées dans ce document, il est possible d’affirmer que la plupart des attaques reprennent les mécanismes viraux. Quand un nouveau procédé de ce type apparaît ou est identifié, les cybercriminels l’exploitent. C’est la raison pour laquelle les nouvelles modifications annoncées par Facebook, qui vont rendre la présence d’applications et leur fonctionnement très visibles dans le profil des utilisateurs, permettront aux arnaques sociales d’atteindre des niveaux d’efficacité inégalés .

Si l’on examine les arnaques utilisant des URL raccourcies détectées par Bitdefender Safego, d’après les statistiques fournies par les services de raccourcissement d’URL, plus de 15 % des clics obtenus par des applications malveillantes ont été effectuées sur la version mobile de Facebook (m.facebook.com). Un scénario courant de vol de données est celui d’applications, ludiques ou même utilitaires, réclamant des autorisations supplémentaires de manière à avoir accès aux données personnelles de l’utilisateur. Dans le domaine social, l’avenir s’annonce sous le signe du malware et de la manipulation, ce qui signifie convaincre les gens de “s’infecter” eux-mêmes, en installant des applications qui accomplissent leur mission “en l’arrière plan”.

33

8 . règles à suivre

34

Voici un ensemble des règles à observer pour la configuration générale et une utilisation sécurisée des réseaux sociaux.

a . Politique du mot de passeUtilisez un mot de passe solide pour les comptes sur réseaux sociaux. L’utilisation d’un même mot de passe pour plusieurs comptes augmente les risques. Une fois le mot de passe dérobé, l’attaquant peut avoir accès à tous les comptes associés.

Créez des mots de passe de 12 caractères en mélangeant majuscules et minuscules, sans utiliser de noms usuels ni de marque, est un minimum.

Ne conservez pas le mot de passe dans le navigateur d’un appareil portable de manière à ce que, en cas de vol, l’appareil en question ne puisse permettre un accès non autorisé au compte de votre réseau social. Si vous ne pouvez pas l’éviter, cryptez votre système de fichiers et protégez votre système avec un mot de passe.

b . supprimez les cookies après déconnexionLa plupart des sites web utilisent des cookies pour traquer l’activité en ligne des utilisateurs . Et Facebook les utilise pour traquer votre activité même lorsque vous n’êtes pas connecté. Il vous est conseillé de supprimer les cookies si vous souhaitez naviguer en toute sécurité .

Les chercheurs ont également découvert que Facebook pouvait suivre votre activité en ligne à partir de n’importe site web possédant le bouton “J’aime”, même si vous ne cliquez pas dessus.

Une manière plus cohérente de protéger son intimité est d’utiliser la fonction “Effacer les données de navigation” de navigateurs comme Google Chrome ou Mozilla Firefox, qui suppriment les cookies quand vous avez fermé le navigateur .

c . utilisez des connexions cryptéesNaviguez toujours sur le réseau social au moyen d’une connexion sécurisée (le préfixe “https” dans le navigateur). Revenez à la navigation sécurisée tout de suite après avoir accédé à un contenu sur des pages ne possédant pas le support SSL. Ne passez jamais en mode non sécurisé quand vous êtes sur un réseau ouvert/non sécurisé .

d. Activez toutes les notifications de connexionFacebook vous permet de recevoir des notifications par e-mail ou SMS à chaque fois que quelqu’un se connecte à votre compte à partir d’un nouvel appareil. Ceci vous aide à déceler plus rapidement toute activité suspecte pouvant s’exercer sur votre compte.

35

e . soyez prêt en cas de détournement de compteSi votre compte est piraté, il vous sera demandé de fournir un ensemble d’informations de vérification pour en reprendre le contrôle. Concernant la vérification, il est judicieux d’associer à votre compte un numéro de téléphone.

Vous devez cependant garder présent à l’esprit qu’il est très facile de pirater un compte de réseau social en cas de vol du téléphone sur lequel le compte est paramétré. C’est pourquoi la connexion à partir d’un téléphone portable ne devrait pas être automatique, et le téléphone devrait se verrouiller automatiquement .

f . Protégez vos informationsSi vous développez une application qui collecte et stocke les données privées d’utilisateurs, assurez-vous que ces informations soient cryptées en utilisant un algorithme puissant. N’oubliez pas de protéger correctement la clé API et le secret de vos applications. Si vous utilisez des formulaires pour obtenir des informations de la part de vos utilisateurs, assurez-vous que les informations sont transférées vers vos serveurs par l’intermédiaire d’une connexion sécurisée .

g . sélectionnez avec discernement quelles informations vous publiez

Il est difficile de supprimer complètement une information une fois qu’elle a été publiée en ligne. Sur le web, des robots analysent en permanence le contenu mis en ligne et le multiplie de façon incontrôlable. Avant de poster un contenu en ligne, évaluez attentivement ses conséquences éventuelles en termes de légalité ou de réputation.

Avertissement

Les informations et les données exposées dans ce document reflètent le point de vue de Bitdefender® sur les sujets abordés au moment de sa rédaction. Ce document et les informations qu’il contient ne peuvent en aucun cas être interprétés comme un engagement ou un contrat de quelque nature que ce soit.

Bien que toutes les précautions aient été prises dans l’élaboration de ce document, l’éditeur, les auteurs et les collaborateurs dénient toute responsabilité pour erreurs et/ou omissions éventuelles. Pas plus qu’ils n’assument une responsabilité quelconque pour des dommages consécutifs à l’utilisation des informations qu’il contient. De plus, les informations contenues dans ce document sont susceptibles d’être modifiées sans avertissement préalable. Bitdefender, l’éditeur, les auteurs et les collaborateurs ne peuvent garantir la poursuite de la diffusion de ce type d’informations ni d’éventuels correctifs.

Ce document et les données qu’il contient sont publiés à titre purement informatif. Bitdefender, l’éditeur, les auteurs et les collaborateurs ne donnent aucune garantie expresse, implicite ou légale relatives aux informations publiées dans ce document.

Le contenu de ce document peut ne pas être adapté à toutes les situations. Si une assistance professionnelle est nécessaire, les services d’une personne compétente doivent être sollicités. Ni Bitdefender, ni les éditeurs du document, ni les auteurs ni les collaborateurs ne peuvent être tenus pour responsables des préjudices pouvant résulter d’une telle consultation.

Le fait qu’une personne ou une organisation, un travail individuel ou collectif, y compris des textes imprimés, des documents électroniques, des sites web, etc., soient mentionnés dans ce document en tant que référence et/ou source d’information actuelle ou future, ne signifie pas que Bitdefender, l’éditeur du document, les auteurs ou les collaborateurs avalisent les informations ou les recommandations que peuvent fournir la personne, l’organisation, les travaux individuels ou collectifs, y compris les textes imprimés, les documents électroniques, les sites web, etc.

Les lecteurs doivent également savoir que Bitdefender, l’éditeur du document, les auteurs ou les collaborateurs ne peuvent garantir l’exactitude d’aucune des informations données dans ce document au-delà de sa date de publication, y compris, mais non exclusivement, les adresses web et les liens Internet indiqués dans ce document, qui peuvent avoir changé ou disparu entre le moment où ce travail a été écrit et publié et le moment où il est lu.

Les lecteurs ont la responsabilité pleine et entière de se conformer à toutes les lois internationales applicables au copyright émanant de ce document. Les droits relevant du copyright restant applicables, aucune partie de ce document ne peut être reproduite, mise en mémoire ou introduite dans un système de sauvegarde, ni transmise sous aucune forme ni par aucun moyen (électronique physique, reprographique, d’enregistrement, ou autres procédés), ni pour quelque but que ce soit, sans l’autorisation expresse écrite de Bitdefender.

Bitdefender peut posséder des brevets, des brevets déposés, des marques, des droits d’auteur, ou d’autres droits de propriété intellectuelle se rapportant au contenu de ce document. Sauf accord express de Bitdefender inscrit dans un contrat de licence, ce document ne donne aucun droit sur ces brevets, marques, copyrights, ou autre droit de propriété intellectuelle.

Copyright © 2011 Bitdefender. Tous droits réservés.

Tous les autres noms de produits ou d’entreprises mentionnés dans ce document le sont à titre purement informatif et sont et restent la propriété de, et peuvent être des marques de, leurs propriétaires respectifs.