Séminaire 2010 : collecte automatisée sur les réseaux sociaux

Mon 22 February 2010 by gabriel

Les réseaux sociaux sont souvent montrés du doigt comme des outils à double tranchant. D'un coté certains disent qu'ils sont indispensables pour tisser et entretenir un réseau relationnel solide alors que d'autres en parlent comme d'un formidable outil de renseignement. Arnauld Mascret et Christophe Devaux nous présentent ici leurs travaux : ils ont étudiés les spécificités de deux réseaux sociaux très connus, facebook et LinkedIn, afin d'estimer la faisabilité d'un outil de collecte automatisée d'informations, ou leur emploi dans le cadre d'une attaque ciblée.

Dans un premier temps, une approche furtive est utilisée, consistant à ne pas entrer en relation « directe » avec la cible sur laquelle on cherche à se renseigner. Dans le cas de LinkedIn, cet exercice peut être grandement facilité à l'aide d'un compte payant, donnant accès au CV d'un utilisateur même si son nom et son prénom sont cachés.

seminaire2010_reseausociaux.png

Les tests réalisés montrent qu'il existe ne nombreuse fuite d'informations permettant de récupérer des données normalement masquées. Les auteurs ont ainsi montré comment utiliser la liste des profils également visités pour retrouver le nom d'un CV normalement anonyme.

Pour facebook, le choix s'est porté sur le développement d'applications : en utilisant les APIs de développement fournies par faceboook, ils ont montré qu'il était facile d'exfiltrer de l'information vers des serveurs maitrisés par les développeurs de l'application. Pour faire simple, une application possède sensiblement les mêmes droits que l'utilisateur et a ainsi accès au même contenu, que ce soit celui de l'utilisateur ou, dans une moindre mesure, celui de ses amis.

L’approche directe consiste quant à elle à créer un profil et rejoindre le groupe de relations de la cible. Dans le cas de facebook, il est possible d'accéder à l'ensemble des informations utiles, comme l'adresse e-mail, et ce de façon automatique. En ce qui concerne LinkedIn, on peut extraire les informations d'un utilisateur, et même retrouver en partie ses contacts s'il les a masqués.

Dans une dernière partie, Arnauld et Christophe nous présentent une application facebook qu’ils ont développée dans le cadre d’un scénario d’attaque ciblant une entreprise. Cette application, qui semble légitime au premier abord, collecte dans une première phase des informations sur le poste de l’utilisateur : version du système d’exploitation et du navigateur par exemple. Cela permettra dans un second temps de lancer une attaque ciblée (via un exploit) spécifique pour chaque utilisateur visé en fonction de son navigateur et son système d'exploitation. Seules les personnes ciblées subissent l'attaque, les autres personnes continuent tranquillement à utiliser l'application.

Pour les auteurs, les mesures de sécurité mises en place sont peu efficaces, offrant ainsi de réelles possibilités pour des prédateurs informationnels. Ils insistent également sur le fait que les utilisateurs, tout juste éduqués face aux menaces transmises par e-mail, ont trop souvent confiance dans ces sites de réseaux sociaux.