Aujourd'hui j'ai lu un bon article sur www.begeek.fr le voici :

Autorisation d’espionnage

Un problème important de confidentialité se trouve sur l’application Facebook sous l’OS de Google, il permet à l’application d’utiliser votre smartphone ou tablette sans votre accord.

Après avoir consulté l’onglet autorisation de l’application Facebook pour Android, nous avons pu constater (cf photo ci-dessous) que le programme peut capturer et enregistrer des photos et vidéos sans notre accord : « Prendre des photos et filmer des vidéos, permet à l’application de prendre des photos et de filmer des vidéos avec l’appareil photo. Cette autorisation lui permet d’utiliser l’appareil photo à tout moment sans votre consentement. »

Où êtes-vous et que faites-vous ?

Pourquoi cela ? C’est un mystère. Après la géolocalisation par Apple des appareils à l’insu de ses utilisateurs, c’est au tour de Facebook d’y mettre son grain de sel. Cela ne concerne pas que la prise de photos et vidéos, mais là aussi la localisation qui sur bon nombre de mobiles et tablettes se situe dans les données EXIF des clichés. Certaines sources anglophones évoquaient également l’enregistrement audio sans consentement, rien de ce côté sur la plateforme française de l’application. Un accès au microphone censé être utilisé pour la saisie vocale. Selon la version de l’application Facebook dont vous disposez sur votre terminal Android, votre vie pourrait être capturée en images et ceci en toute légalité, les conditions ayant été acceptées lors du téléchargement du programme.

Le comble est donc que Facebook puisse prendre une photo ou vidéo sans notre consentement, tout en ayant pourtant donné l’autorisation à ce type d’agissement. Pour une entreprise qui a récemment fait les éloges de son nouveau système de confidentialité respectant la vie privée, c’est beau.

Article original

 

Aujourd'hui je vais vous parler du comportement humain avec les mots de passe. 

Très étrange vous allez voir:

Si vous demandez à une personne dans la rue le code pin de sa carte de crédit, jamais elle ne vous le donnera.

Mais si vous lui téléphonez et vous dites être du service de contrôle des fraudes a la carte de crédit  que vous lui expliquez que sur votre ordinateur vous observez des retraits suspects sur  sa carte, vous aurez vite fait pour obtenir son code, son numéro de carte, son adresse, sa date de naissance, son numéro de client de la banque et peut être même le nom du chien (oui c'est tout a fait possible).

Maintenant imaginez que l'on vous appelle pour vous féliciter d'avoir gagné à un jeu concours, vous avez gagné 1000$ cash, la personne au téléphone vous explique toutes les conditions du jeu (très rapidement et en prenant le soin de ne pas se faire totalement comprendre) et vous demande ensuite votre numéro de carte de crédit pour faire le dépôt sur votre compte ! Si vous acceptez, c'est tout bon pour le pirate sinon il lui suffira de vous relire une seconde fois les conditions du jeu (en insistant sur le fait que vous devez donner vos informations bancaires avant ce soir minuit pour valider le gain), et le tour est joué. Cette méthode est beaucoup utilisée dans l’hameçonnage par courriel.

Des situations comme celles-ci il en existe des milliers.

 

Au bureau

Que ce soit pour voler des informations personnelles ou professionnelles, l'ordinateur du bureau a toutes les informations.

On la vu précédemment vous ne donneriez jamais votre mot de passe à un passant dans la rue. Mais le technicien informatique de votre compagnie peut lui très facilement l'obtenir.

Il existe de multiples façons de faire de l’ingénierie sociale, je vais vous en présenter 3 ici, basé sur une conversation téléphonique :

Option 1 : Le pressé 

Se faire passer pour un technicien IT et prétendre un audit ou une autre situation et faire sentir à la victime l'urgence d'aider la technicienne à finir son travail dans les délais. Exemple : À 16 h 45 un vendredi demander le mot de passe de la victime pour faire un contrôle rapide sur son compte Active Directory, car vous devez rendre votre rapport ce soir à votre superviseur. Ajoutez que c'est le dernier qu'il vous reste à contrôler.

Option 2 : L'erreur

Toujours dans la peau du technicien, appeler sa victime et prétendre que ses agissements sur le réseau de la compagnie ne sont pas autorisés (parlez en thermes bien techniques pour l’embrouiller). La victime devrait nier, demandez donc si elle vous permet de vérifier son ordinateur, puis son compte sur le domaine (tout en demandant subtilement son mot de passe).

Option 3 : L'autorité

Cette fois-ci il va falloir avoir un peut plus d'information sur notre victime et réussir a se faire passer pour un de ses supérieurs, il faut par exemple appeler un vendeur qui est souvent a l'extérieur de la compagnie. Lui annoncer sur un ton autoritaire qu’il n'a pas effectué la mise à jour que le service informatique a demandée il y a 3 semaines, et qu'ils attendent après lui. Bien sûr il y a une solution qui consiste à donner son mot de passe pour que le service IT effectue la mise à jour pour lui.

 

Dans la première option on fait appel au sentiment de compassion de la victime, dans le second c'est le sentiment de culpabilité qui pousse la victime à divulguer l'information. Et avec la 3e option, c'est évidemment l'autorité qui fait son effet.

Il existe des subtilités comme appeler le vendredi soir ou se faire passer pour le nouveau stagiaire qui permettent de diminuer le risque d’être démasqué rapidement et d'augmenter les probabilités de réussite de l'attaque.

 

Point fort, point faible :

Option 1 : Le point fort de cette option c'est la situation d'urgence, qui va permettre un accès rapide. En point faible on a une forte probabilité que la victime en parle à ses collègues et même au personnel informatique.

Option 2 : Selon moi la meilleure des trois. En fessant appel à la culpabilité de la victime, on diminue fortement le risque de divulgation de cette discussion entre le pirate et la victime (surtout en lui démontrant que sa barre d'émoticônes dans son navigateur permet aux virus de rentrer dans sa machine). Cette méthode ne permet de toucher que des personnes en bas de l'échelle salariale, ce qui limite aussi les accès dans le réseau.

Option 3 : Le point fort ici c"est aussi que la victime ne va pas communiquer immédiatement, mais dés que son vrai supérieur vas communiquer avec lui le subterfuge serras découvert. Le point faible comme la personne est a l'extérieur de la compagnie, il faudra déjà avoir un accès à une machine de la compagnie cible reliée au réseau.

 

Mise en pratique

Voyons maintenant une subtile mise en pratique; nous avons 3 compagnies, les compagnies A et B sont en concurrence et doivent soumissionner un très gros projet pour la compagnie C.

Vous devez aider la compagnie A à soumissionner moins cher que la compagnie B.

Commencez par l'option 3 récupérez les identifiants du vendeur de la compagnie B. ensuite on enchaine immédiatement avec l'option 2 pour installer une back-door dans une machine de notre concurrent. Et à partir de ce point d'entrée, on peut accéder avec les accès du vendeur aux soumissions proposées.

Je vous rappelle que ceci est tout à fait illégal et que dans cet exemple le pirate et la compagnie A peuvent être accusés entre autres d'intrusion informatique et d'espionnage industriel.

 

Prévention

Passons maintenant du côté de la prévention.

Voyons quels gestes simples qui auraient pu empêcher la fuite d'informations :

Pour commencer le pirate à appelé le vendeur sur la route (donc sur son cellulaire), il suffit donc de ne pas mettre à disposition directe le numéro d'un employé ou son courriel sur le site web de la compagnie ni même son nom. Faire passer les appels de potentiels client par une réceptionniste où une boite vocale permet d'éviter un contact direct et unique avec le premier appel.

Un deuxième point important dans l'infrastructure Active Directory c'est le double contrôle user / ordinateur. Pour accéder à un document réservé aux cadres il faut obligatoirement avoir un compte d’utilisateur avec les bonnes autorisations, mais aussi un ordinateur qui lui aussi est configuré avec le bon niveau d'accès. On évite donc que le code du directeur soit utilisé sur le PC du stagiaire pour consulter des documents sensibles.

Et le dernier point le plus important combler la faille humaine. Il faut former les utilisateur du système informatique de l'entreprise et les sensibiliser à la sécurité. Ils devraient tous au moins savoir que l'on ne donne pas son mot de passe à personne, même pas au technicien informatique.

 

Voilà qui termine ce sujet