contre Les escrocs

GeorGe Petre, tuDor FLorescu, ioana JeLea

Les amis, Les ennemis et Facebook : La nouveLLe Lutte

table des matires

auteurs et collaborateurs bitdefender . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 1 . vue densemble des vulnrabilits des rseaux sociaux . . . . . . . . . . . . . . . . . . . . 6 2 . Que peut-il exactement se produire ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 2.1. Vol de donnes et dissmination de malwares . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 2.2. Les attaques cibles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 2.3. Dtournement de contenus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 3 . Qui a le droit de faire quoi ? Les systmes dautorisation des rseaux sociaux 12 3.1. Les permissions Facebook . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 3.2. Les nouvelles permissions Un pas de plus vers linteractivit sur Facebook . . 15 4 . mcanismes dattaque sur Facebook . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 4.1. Techniques de dtournement de comptes utilisant des fonctions spcifiques de Facebook 18
a) Le dtournement du Jaime : le likejacking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 b) Le dtournement de tag : le tagjacking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 c) Le dtournement dvnement : leventjacking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 d) Les fausses notifications dadministration de page . . . . . . . . . . . . . . . . . . . . . . . . . 21

6 . Les changements venir . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 7 . conclusions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 8 . rgles suivre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 a. Politique du mot de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 b. Supprimez les cookies aprs dconnexion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 c. Utilisez des connexions cryptes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 d. Activez toutes les notifications de connexion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 e. Soyez prt en cas de dtournement de compte . . . . . . . . . . . . . . . . . . . . . . . . . . 34 f. Protgez vos informations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 g. Slectionnez avec discernement quelles informations vous publiez . . . . . . . . . . . 35

4.2. Arnaques copier/coller dun Java Script . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 4.3. Phishing via de fausses pages de connexion . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 4.4. Dtournement de session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 4.5. Malware sur les rseaux sociaux Etude dun cas : le cheval de Troie . . . . . . . 25 5 . Quel est le niveau defficacit des attaques contre les rseaux sociaux ? . . . . 26
Dcouvre qui a consult ton profil. Une trs courte tude de cas . . . . . . . . . . . . . . . . . 27

auteurs et collaborateurs bitdefender

auteurs : George Petre Responsable produits, Scurit des rseaux sociaux Tudor Florescu Analyste des menaces en ligne Loana Jelea Spcialiste en communication et analyse des menaces sur le Web

contributeurs : Loredana Botezatu Spcialiste en communication et des menaces sur le Web Razvan Livintz Spcialiste en communication et des menaces sur le Web Doina Cosovan Analyste antivirus Razvan Benchea Analyste antivirus

rsum
Au moment o les e-menaces ciblant les rseaux sociaux en ligne ont dpass le stade de simple curiosit et progressent sur le front de la scurit des donnes, nous les considrons comme un vecteur de cyber-attaques conues pour le vol de donnes personnelles. A lheure o plus de 800 millions de personnes sactivent dsormais sur le plus important rseau social ce jour, la manire dont les informations sont changes et/ou protges dans ce type denvironnement est devenue lun des principaux enjeux de la scurit des donnes. Ces dernires semaines, les proccupations des utilisateurs sont centres autour des changements venir ou dj implments par Facebook. Aprs la mise jour des Contrles de la confidentialit et lintroduction discrte des Smart Lists, la Confrence f8 a fait passer lutilisation et la confidentialit un autre niveau, en introduisant les Abonns, le News Ticker et un ravalement du Mur, sans oublier les deux changements vedettes le Timeline et les nouvelles fonctionnalits de Open Graph. Ces nouvelles fonctionnalits ont pour dessein daugmenter les interactions entre utilisateurs, mais elles engendrent galement une nouvelle dimension aux problmes de confidentialit et de scurit des donnes personnelles. A elle seule, la mise jour de Timeline est susceptible de donner un nouveau sens au concept mme de vie prive puisque les moindres dtails de la vie des utilisateurs peuvent dsormais tre partags et catalogus. En outre, App Ticker rend plus facile aux utilisateurs de voir quelles applications leurs amis ont eu accs, ce qui peut avoir des consquences sur la rapidit avec laquelle une arnaque se rpand partir du moment o la personne qui lon fait confiance est elle-mme tombe dans le panneau. Avant mme ces changements, Facebook tait constamment la cible darnaques dues sa popularit et son norme rservoir dutilisateurs. Les escroqueries classiques nont pas pour autant disparu, ce qui fait que ces changements sont susceptibles dajouter de la varit, et, comme il en sera question plus loin, de lefficacit, un phnomne bien install sur le rseau social . Un autre aspect important considrer est que la prsence sur un rseau social est aussi un outil important de publicit personnelle partir de laquelle des chercheurs demplois peuvent tre jugs au cours dun processus de recrutement. Dautre part, une fois que les candidats un emploi sont recruts, leurs comptes, et toutes les donnes quils contiennent sur leur activit, peuvent tre utiliss par les cybercriminels pour concevoir des attaques cibles contre les entreprises concernes. Ce document a donc pour but de faire la lumire sur les menaces sociales du Net et de proposer des recommandations pour les utilisateurs afin de leur viter dtre victimes dattaques cybercriminelles sur un rseau social. Bien que son objectif soit de fournir une vue densemble des rseaux (plateformes et applications), ce livre blanc sintresse particulirement Facebook, le plus important acteur dans ce domaine. Les dcouvertes prsentes dans ce document proviennent essentiellement de Bitdefender Safego, un outil gratuit conu pour protger les comptes des rseaux sociaux contre les menaces visant les utilisateurs de Facebook et de Twitter. Safego protge actuellement plus de 100.000 utilisateurs de Facebook dans le monde.

1 . vue densemble des vulnrabilits des rseaux sociaux

Tous les sites Web de rseaux sociaux ont leurs faiblesses et des bugs, quil sagisse de problmes denregistrement/connexion, des possibilits de cross-site scripting (XSS) ou des vulnrabilits de Java que les intrus peuvent exploiter. Un simple cheval de Troie dropper, quun attaquant dissimule dans un widget ou une bannire de pub sur la page de lutilisateur, peut pntrer furtivement dans un systme insuffisamment protg. Quand un utilisateur accde un site commercial en ligne partir de la machine compromise, le cheval de Troie peut semparer de son nom dutilisateur et de son mot de passe, du numro de sa carte bancaire et dautres donnes sensibles, et les envoyer lattaquant distance. A lheure actuelle, les rseaux sociaux comptent parmi les quelques applications qui ne dpendent pas dune plateforme particulire, en dautres termes, les rseaux sociaux peuvent fonctionner sur nimporte quel ordinateur possdant un navigateur assez rcent, aussi bien que sur toutes les principales plateformes mobiles : iOS, Android, Symbian et Windows. Dautre part, tandis que les rseaux sociaux, comme Facebook, possdent leur propre nuage scuris dans lequel ils conservent les donnes personnelles de leurs utilisateurs, de nombreuses applications tierces incontrles ont accs ces informations sensibles (ds que lutilisateur en donne lautorisation lors de linstallation de lapplication), qui sont alors stockes dans le propre nuage de ces applications. Il nexiste aucun moyen de contrler ce quil advient des donnes une fois quelles se trouvent dans le nuage priv dune application.

2 . Que peut-il exactement se produire ? Les rseaux sociaux en tant que vecteurs dattaques

2 .1 . vol de donnes et dissmination de malwares

Les plateformes de rseaux sociaux sont cibles par les cybercriminels en raison des millions de contacts, dadresses lectroniques, de photos et autres donnes sensibles quils contiennent. En effet, les rseaux sociaux incitent les utilisateurs rendre publiques le maximum de donnes personnelles dans la mesure o le paramtre par dfaut de la vie prive est Publique. Le fait que des donnes confidentielles puissent facilement tre transfres du nuage du rseau social vers celui de parties tierces rend leur vol facile. Il arrive souvent quune application lgitime, qui effectue exactement ce quindique sa description, soit utilise comme un parfait outil de vol de donnes personnelles. Par exemple, une application ludique apparemment inoffensive, promettant lutilisateur de lui faire connatre ce que son nom rvle de son caractre, sollicite de multiples permissions et taggue illicitement tous les amis de lutilisateur . Dans ce cas, la possibilit de tagguer assure une large audience cette arnaque et peut ouvrir la voie au vol de toutes les donnes personnelles des personnes vises. Leur adresse lectronique peut devenir elle seule une source de profit sur le march du spam. Cette escroquerie peut se dissminer auprs dun nombre impressionnant de membres des rseaux sociaux. Un bon exemple est larnaque Dcouvre qui a consult votre profil, qui promet dindiquer la victime combien de personnes ont consult son profil. Daprs les donnes runies par Bitdefender Safego, cette arnaque comprend en moyenne 286 URL uniques par vague, 14 applications Facebook uniques, 1.411.743 clics collects et un pic de diffusion de chaque URL atteint au bout de 34 heures.

Fig. 1 Message publicitaire de lapplication ludique

Les ennuis des mdias sociaux ne sarrtent pas l. De nombreuses pages Web de rseaux sociaux peuvent fournir une plateforme idale et rentable de distribution de virus, vers et bots, chevaux de Troie, rootkits, spyware, adware, grayware, faux logiciels de scurit, et dautres catgories de malwares. Ou bien encore, un bout de code peut tre ajout chaque page de chaque utilisateur, de telle manire qu chaque fois que lutilisateur sy connecte, un bot est immdiatement tlcharg dans le systme, transformant lordinateur non protg en zombie (une machine compromise intgre dans un plus grand rseau de machines infectes, appel botnet, quun attaquant contrle distance).

Fig. 2 Liste des permissions demandes

10

2 .2 . Les attaques cibles

La liste damis de lutilisateur (comprise dans les informations rendues accessibles au dveloppeur de lapplication grce lautorisation Accder mes informations de base) peut tre exploite par les attaquants. Un intrus peut runir des donnes sur la taille de lorganisation pour laquelle travaille la personne concerne, sa hirarchie, son exprience et son niveau de connaissances informatiques, etc. Ces informations peuvent localiser un employ qui peut tre conduit rvler des donnes encore plus sensibles ouvrant ainsi une porte drobe dans le rseau de lentreprise. Dautres scnarios associant diffrentes stratgies sont galement possibles. Avec des techniques dingnierie sociale trs polyvalentes, les attaquants peuvent utiliser un rseau en ligne professionnel pour cibler les employs qui, sans tre ncessairement des experts de la scurit, peuvent avoir accs aux ressources des donnes essentielles du rseau de leur organisation . Envisageons lhypothtique scnario dune attaque consistant persuader la victime sans suspicion de communiquer des donnes sensibles par e-mail. Peaufiner soigneusement le message pour lui donner lapparence dun message lgitime (manant du PDG, par exemple) a des chances de porter ses fruits. Si le message contient un fichier PDF attach, charg de malwares, et que lemploy louvre, le pirate accde au rseau de lorganisation et en extrait les donnes qui lintressent.

2 .3 . Dtournement de contenus
Les messages, commentaires et vidos peuvent tre transforms en adware et spyware non sollicits. A dfaut de renforcer les mesures de scurit et de consacrer des efforts constants pour prserver lintgrit des contenus affichs, les pages, les groupes et les profils des rseaux sociaux peuvent tre usurps, voire dtourns.

Fig. 3 Tous les amis de lutilisateur sont automatiquement taggus.

11

3 . Qui a le droit de faire quoi ? Les systmes dautorisation des rseaux sociaux

12

Les rseaux sociaux les plus importants ont dvelopp des plateformes permettant des dveloppeurs tiers de crer des applications ciblant leurs membres. Pour pouvoir sinstaller et fonctionner sur les comptes utilisateurs, ces applications doivent avoir accs diffrents types de donnes lintrieur du compte, en fonction dune srie dautorisations. Chaque autorisation (telle quelle apparat lutilisateur dans la bote Demande de permission reproduite ici) correspond plusieurs catgories de donnes. Par exemple, en slectionnant Accder mes informations de base, lutilisateur peut autoriser laccs toute une srie dinformations personnelles, comme sa liste damis, ou toute autre information partage par tous. La possibilit de slectionner quel type dinformations on donne accs nexistant pas, lutilisateur nest pas rellement conscient des donnes effectivement exposes. Un attaquant utilisant une application manipulatrice peut semparer de toutes les informations existantes.

3 .1 . Les permissions Facebook

Facebook tant le rseau social le plus populaire, cette section va examiner son systme dautorisations et les risques menaant les donnes personnelles de lutilisateur. La liste complte des permissions, vue du ct du dveloppeur de lapplication, comme les donnes associes auxquelles ces permissions donnent accs, peut tre consulte ici .

Fig. 4 La page Demande de permission dune application. Accder mes donnes de base inclut : nom dutilisateur, photo du profil, sexe, rseaux, identifiant de lutilisateur, et toute autre information que lutilisateur a partage avec tous.

13

Que va-t-il se passer du ct de lutilisateur ? Voici quelques exemples de dtournement dautorisations des fins de vol de donnes personnelles. menvoyer des messages lectroniques . Les applications des rseaux sociaux tournent dans les nuages, ce qui signifie quelles utilisent leur propre nuage (les applications Facebook ne sont pas dveloppes par Facebook sauf avis contraire). Il est impossible de contrler le devenir des donnes une fois dans le nuage . Ce qui veut dire que les adresses lectroniques peuvent tomber entre les mains de spammeurs. Facebook offre ses usagers la possibilit de cacher leur vritable adresse lectronique et den utiliser une qui soit temporaire pour chaque application. Cependant, cette option nest pas active par dfaut et est destine bloquer de futures vagues de spams, quand lutilisateur a supprim une application ou la signale comme gnratrice de spams. accder mes informations de base . Avec les adresses lectroniques, les informations de base de lutilisateur peuvent aider les spammeurs crer des messages personnaliss qui exploitent les gots, les centres dintrt, etc exprims par lutilisateur. Ces deux autorisations peuvent tre abusives, mais elles sont ncessaires au fonctionnement de nombreuses applications lgitimes qui ont besoin de pouvoir identifier avec certitude les utilisateurs pour rester en communication avec eux. Grer mes pages . Cette autorisation peut devenir un outil dangereux dans de mauvaises mains car elle permet de rcuprer les droits dadministration des pages que lutilisateur administre. En consquence, la fausse application ayant sollicit cette permission peut commencer poster des messages automatiques (provenant en apparence de lutilisateur lgitime) sur toute page administre par la victime.

Publier sur mon mur . Les applications truques vont utiliser cette permission pour inonder le mur de lutilisateur et ceux de ses amis avec des contenus non sollicits quil diffuse. Les applications lgitimes vont utiliser cette permission pour afficher les informations intressantes ou utiles que lutilisateur a expressment accept de recevoir et de lire (des statistiques par exemple). accder mes donnes en permanence . Cette autorisation peut permettre aux crateurs dapplications truques denvoyer leurs messages au bon moment, sans risque de les voir effacs par le dtenteur du compte. Quand cette autorisation nest pas demande, lapplication ne peut interagir avec le compte de lutilisateur que lorsque ce dernier est connect. En gnral, moins que lapplication ne soit un jeu, les utilisateurs ne seront connects quun court moment. Si lapplication peut avoir accs tout moment aux donnes de lutilisateur, ds que linoffensif contenu initial sest assur une large audience, il sera plus facile au crateur de lapplication dintroduire le contenu nocif, au moment o ses agissements peuvent ne pas tre remarqus par lutilisateur. Comme une application ne peut solliciter quun ensemble fixe de permissions, le dfi pour lutilisateur est de trouver le moyen de distinguer les bonnes applications des mauvaises. Une solution pour lutilisateur est dexaminer attentivement ce que lapplication promet de fournir et le degr de vraisemblance de la promesse (Dcouvre qui a consult ton profil, Mon tout premier statut sur Facebook, par exemple, sont des appts rentables pour les applications truques). Une simple recherche sur Internet peut dissiper des doutes sur la lgitimit dune application.

14

3 .2 . Les nouvelles permissions un pas de plus vers linteractivit sur Facebook

Les rcents changements de la structure des comptes Facebook, annoncs la confrence f8 en septembre 2011, offrent aux dveloppeurs les autorisations ncessaires pour rendre les messages gnrs par les applications plus visibles sur le nouveau profil de lutilisateur (appel Timeline). En introduisant le concept de widget, Facebook permet pratiquement aux dveloppeurs dagir sur diffrents objets, ce qui porte les interactions un tout autre niveau. Jusqu maintenant, toute personne possdant une application installe interagissait avec ses amis lintrieur de cette application. Dsormais, lapplication se trouve sur le mur de lutilisateur, ce qui fait que toute personne interagissant avec le profil de lutilisateur interagit avec lapplication. Etant donne la courte dure de vie des applications gnrant des spams, ceci pourrait stimuler leur efficacit. Cependant, compte tenu du fait que la caractristique est rcente, il va probablement se passer un peu de temps avant que les spammeurs lexploitent fond. Facebook va galement adapter le flux des demandes dautorisation en fonction des changements rcents. Ce qui signifie quil sera dabord demand aux utilisateurs dautoriser un ensemble de permissions essentielles, incluant E-mail and Publish Stream (ce qui permet lapplication daccder la Timeline) ; la liste tendue dautorisations (certaines dentre elles ayant t dcrites plus haut) apparatra dans une seconde page de dialogue. Facebook propose maintenant aux utilisateurs la possibilit dannuler nimporte quelle autorisation figurant dans la liste tendue, ce qui leur offre thoriquement plus de contrle sur les informations auxquelles ils autorisent laccs et sur les initiatives que les applications peuvent prendre.

15

4 . mcanismes dattaque sur Facebook

16

Une application vhiculant une arnaque poste automatiquement des messages sur le mur de la victime et sur celui de ses amis, de manire inciter le plus possible de personnes cliquer, ce qui lui permet de se dissminer plus rapidement. Des messages aguicheurs (utilis comme de vritables appts) lis des actions spcifiques qui dclenchent les rflexes de lutilisateur (allant dun simple clic, un tag, voire la cration dun vnement) constituent larnaque sociale parfaite. Un seul clic, et les utilisateurs voient leur compte inond de messages truqus envoys automatiquement, comme dans limage ci-dessous.

Fig. 6 Envoi automatique de messages

Fig. 5 Variantes de larnaque du type qui a consult votre profil

17

4 .1 . techniques de dtournement de comptes utilisant des fonctions spcifiques de Facebook

a) Le dtournement du Jaime : le likejacking
Aprs avoir cliqu sur un lien pour voir le contenu dune vido au titre scandaleux ou choquant, la victime va dcouvrir quun message a t post automatiquement sur son mur, disant quil a AIM ce lien. Comment estce possible ? Un script Java installe un bouton Jaime invisible sous le bouton Voir la vido. Lutilisateur clique pour regarder la vido, sans se rendre compte quil aime la vido. Cette menace a volu dune manire intressante. Au dpart, le mcanisme Jaime de Facebook consistait en une ligne saffichant sous len-tte Activit rcente de la page Profil de lutilisateur. Ensuite, la plateforme a amlior le mcanisme viral de ce bouton, en rendant son rsultat semblable celle de la fonction Partager. Autrement dit, tous les Jaime saffichent maintenant sur le mur avec une vignette et une brve description.
Fig. 7 Message de dtournement de Jaime

18

b) Le dtournement de tag : le tagjacking

Cette technique utilise loption tag fournie par la plateforme sociale. Aprs avoir t incit cliquer sur un lien vers un contenu vido, la victime va dcouvrir quune photo a t ajoute sa galerie et que tous ses amis ont t taggus sur cette photo.

Le phnomne du dtournement des tags est bas sur un mcanisme de diffusion extrmement infectieux, qui permet dassurer une plus large audience au message, comme illustr ci-dessous :

Fig.8 Dtournement de tag premire tape

AMI A (a cliqu sur le lien) -> AMI B* (rcupre un message sur le mur lui disant quil a t taggu, il cliquera sur le lien ou non) -> AMI C* (voit le message concernant le tag de B et peut avoir accs au lien malveillant mme si B na pas cliqu dessus)

*B est lami de A et C est lami de B.

Fig. 9 - Dtournement de tag deuxime tape

19

c) Le dtournement dvnement : leventjacking

Cette arnaque consiste la cration dun faux vnement pour inciter les utilisateurs cliquer et dissminer une application nuisible. Par exemple, vous tes invit assister au prtendu lancement de lapplication OFFICIELLE Dcouvre ceux qui ont consult ton profil.

Dans tous les cas voqus jusquici, partir du moment o ils se sont assurs une audience de faon illicite, les cybercriminels peuvent remplacer le contenu inoffensif du dpart (le plus souvent un film) par des lments malveillants. Le message automatique rest sur le mur de lutilisateur pour que tout le monde puisse le voir, peut se transformer en un contenu qui met les donnes en danger : des pages de phishing ou, pire, du malware dguis en plugins utiles.

Fig. 10 Message annonant un faux vnement

Fig. 11 Page annonant un faux vnement

20

d) Les fausses notifications dadministration de page

Les arnaqueurs crent une fausse fanpage Facebook et un onglet customis. Celui-ci, qui est utilis comme landing page par les escrocs (ce qui signifie que tous les utilisateurs atterrissent sur cette page quand ils cliquent sur le lien), est intgr un lien de redirection. Pour promouvoir la page, les arnaqueurs ajouteront de nombreux utilisateurs sur Facebook en tant quadministrateurs de la page malveillante. Quand les utilisateurs sont dsigns comme tels, ils reoivent un e-mail les notifiant au sujet de leur nouveau statut social. A la rception de cette notification, les utilisateurs, attiss par la curiosit, cliqueront sur le lien parce quils ne connaissent pas cette page ou ils ne se souviennent pas avoir dj pris part cette cration de fanpage. Quand ils atterrissent ensuite sur la fausse page Facebook, ils sont redirigs vers une page malveillante. Dans la variante identifie dans cet exemple, la page malveillante est utilise pour collecter les donnes personnelles des victimes (adresses lectroniques et adresses de livraison).

Fig. 12 Notification adresse des utilisateurs soi-disant nomms administrateurs dune page Facebook

Fig. 13 Message affich sur la page web malveillante vers laquelle les utilisateurs ont t redirigs

21

4 .2 . arnaques copier/coller dun Java script

Certaines applications promettant de fournir des statistiques (par exemple qui a consult votre profil, qui vous a bloqu, qui est votre plus grand admirateur, etc.), de vous permettre daccder des contenus choquants, ou mme dviter de perdre une fonction spcifique de Facebook (par exemple rcuprer un ancien profil, confirmer que le compte est actif, etc.), ncessitent de coller un script Java dans le navigateur de lutilisateur. Une fois dans le navigateur, le code peut accder aux contrles Facebook avec les privilges de lutilisateur et il diffusera cette arnaque en utilisant les API Facebook comme des messages, des invitations et des envois de messages sur le mur des amis .

Fig. 14 Exemple dune arnaque qui repose sur le mcanisme du copier/ coller. Dans ce cas prcis, le mcanisme viral est renforc par les citations des amis ayant particip une discussion au sujet de la prtendue trouvaille mise disposition par lapplication.

Fig. 15 Exemple dinstructions de type copier/coller le code

22

4 .3 . Phishing via de fausses pages de connexion

Le phishing est une mthode illicite qui consiste rcuprer le nom des utilisateurs, leurs mots de passe ou leurs numros de cartes bancaires en crant une contrefaon dune page web dun organisme de confiance. Les appts du phishing sont gnralement envoys par e-mail ou messagerie instantane. Une fois lutilisateur connect au rseau social, aucune application ne doit lui redemander le mot de passe de son compte. La recherche dindicateurs spcifiques de la lgitimit dune page aide les utilisateurs ne pas tomber dans les filets du phishing : 1 . La page URL doit tre orthographie correctement et utiliser une connexion scurise pour lidentification (le prfixe https:// doit apparatre dans la barre dadresse) . 2 . Lanne qui suit les lments du copyright doit tre correcte. 3 . La page Facebook authentique offre aux utilisateurs la possibilit de se connecter en utilisant leur langue maternelle . 4 . La page trafique ne contient pas toutes les options de lauthentique page Facebook. Le vol de mot de passe nest quun des moyens de prendre le contrle dune page de Facebook. Le compte peut aussi tre pirat via une application quand lutilisateur lgitime est connect. Afin de prendre le contrle dune page Facebook, drober le mot de passe reste une option parmi dautres. Le compte peut tre dtourn par le biais dune application alors que le propritaire lgitime du compte est connect Facebook.
Fig. 17 Page Facebook trafique Fig. 16 Page Facebook authentique

23

4 .4 . Dtournement de session
Sur un rseau indigne de confiance, les utilisateurs qui naviguent sans outil de scurit peuvent tre victimes dun dtournement de session. Firesheep, lextension de Firefox, a t cre pour mettre cette vulnrabilit en vidence et faire prendre conscience aux utilisateurs de limportance de naviguer avec une connexion SSL. Une description complte de cette situation est disponible ici . Mme si Facebook a fait beaucoup de progrs en intgrant le support SSL, la plupart des utilisateurs nont toujours pas recours la scurisation de leur navigation et mme les pages les plus populaires noffrent pas le support SSL complet. Le faible taux dadoption de SSL peut indiquer une mconnaissance des avantages quoffre cette pratique. En outre, cette option nest pas active par dfaut.

Peu de temps aprs que Firesheep ait provoqu un buzz mdiatique, Facebook a permis ses utilisateurs de naviguer sur le rseau au moyen dune connexion scurise, chaque fois que cela tait possible . Ce qui a constitu une importante tape vers des changes plus srs, mme si le tlchargement dune application non-SSL forait les utilisateurs revenir une connexion non scurise.

Le 19 avril 2011, Facebook a encore amlior le support SSL en introduisant loption du retour automatique, tainsi que dautres fonctions de scurit . Dautre part, la feuille de route de la plateforme Facebook a fix au 1er octobre 2011 la date dimplmentation du support SSL des applications Canvas .

24

4 .5 . malware sur les rseaux sociaux etude dun cas : le cheval de troie
Le cas de Trojan.FakeAV.LVT donne une dimension nouvelle lingnierie sociale. Son dploiement est extrmement complexe : dans une fentre de chat Facebook, un ami engage une conversation avec la personne cible. La conversation dbute par des questions comme Salut, comment vas-tu ?, Est-ce toi dans cette vido ? ou Tu veux voir ?, suivies dun lien vers une vido cense reprsenter la personne cible. Un clic sur le lien fait apparatre une page YouTube contenant une vido avec le nom de la cible en titre (directement sorti de son profil Facebook). En plus, quelques amis de la cible (dont les noms sont pris dans la liste damis Facebook) sont prsents comme ayant fait des commentaires sur la vido . Si la cible clique pour voir le film, il ou elle sera invit(e) tlcharger une nouvelle version de Flash Player, parce que la version actuellement installe est prime. En ralit, le tlchargement installe un cheval de Troie sur le PC de lutilisateur . Le code malveillant sajoute la liste du pare-feu des applications autorises, et il arrive que le pare-feu soit lui-mme dsactiv. Toutes les notifications produites par le pare-feu et lantivirus installs sur le PC seront dsactives, dpouillant le systme de toute protection. Le cheval de Troie affiche une fentre davertissement et demande un redmarrage du systme pour dtruire le prtendu virus. Un mcanisme de mise jour complexe permet au code malveillant de rester inaperu et dajouter en permanence de nouveaux composants de malware.

Trojan.FakeAV.LVT possde un composant dun faux antivirus innovant. Les fausses solutions antivirus pigent gnralement les utilisateurs par le biais de pop-up prtendant que le PC est infect par un malware. Ce cheval de Troie commence par diffuser des messages dalerte personnaliss semblables ceux de la solution antivirus quil a trouv installe dans le systme. Le code malveillant dtecte quel antivirus utilisateur sur lordinateur et quel langage dinterface a t slectionn par la cible, et peut ainsi imiter les lgendes, les icnes et les messages correspondant aux paramtres personnaliss de lantivirus install.

Fig. 18 Page diffusant la vido cense montrer la victime, avec des commentaires apparemment mis par ses amis.

25

5. Quel est le niveau defficacit des attaques contre les rseaux sociaux ?

26

On dit que les arnaques atteignent les utilisateurs par vagues. Une vague est compose de plusieurs URL conduisant vers des applications possdant des fonctionnalits presque identiques, se diffusant laide dun message quasi identique, pendant une courte dure. Le succs dune vague darnaques repose sur lassociation entre ingnierie sociale et puissance virale. Les appts qui reposent sur le mme sujet (par exemple le trs populaire Dcouvre qui a consult ton profil) sont conus pour dclencher les ractions motionnelles recherches et concerner une grande quantit de cibles . Les effets viraux sont obtenus en favorisant les mcanismes de diffusion utilisant des fonctionnalits altres de la plateforme, comme dans le cas du dtournement de tag (voir b) Dtournement de tag). Les rsultats peuvent tre impressionnants.

Dcouvre qui a consult ton profil. Une trs courte tude de cas
286 URL uniques par vague, en moyenne. 14 applications Facebook uniques, en moyenne. (apps.facebook.com/app_uniq) 1.411.743 clics collects (selon les services de raccourcissement dURL) Pic de diffusion de chaque URL atteint au bout de 34 heures.
Fig. 19 Lingnierie sociale luvre dans des variantes du Dcouvre qui a consult ton profil.

27

6 . Les changements venir

28

Septembre 2011 a vu de multiples changements sur Facebook. Au moment o les nouvelles fonctions augmentent les interactions entre utilisateurs, les problmes de confidentialit et de scurit ont atteint de nouvelles dimensions. Il existe au moins cinq nouvelles voies ouvertes aux attaquants :

1 . Les smart Lists (listes automatiques damis) vont pousser les utilisateurs partager plus dinformations publiquement apportant ainsi de nouvelles munitions pour des attaques cibles .
La liste intelligente encourage les utilisateurs complter leur profil en indiquant leur emploi, leurs tudes et leurs projets professionnels. chaque fois que quelquun cre une liste de collgues issus dun emploi donn, cela apparat dans son profil. En gnral, il ne sagit pas dinformations confidentielles et les utilisateurs peuvent accepter ou non ces informations. Cependant, rendre ces informations publiques et indexables facilite llaboration dattaques cibles de haut niveau . Les attaquants savent exactement qui travaille dans une entreprise donne, leur poste et, plus important encore, sur quel projet ils travaillent. Rappelons que le rseau compte 800 millions dutilisateurs.

2 . avec les abonns, le nombre de spambots pourrait augmenter, exactement comme sur twitter .
La principale diffrence entre les attaques sur Facebook et celles sur Twitter est que Facebook a de nombreux comptes pirats alors que Twitter est envahi de spambots. Avec la nouvelle fonctionnalit Subscribers, Facebook ouvre la voie aux spambots et aux arnaques pour obtenir plus de subscribers. Copier les fonctionnalits de Twitter peut galement se traduire par limportation de ses arnaques de type scams.

Fig. 20 Tagguer des personnes dans Smart Lists

29

3 . tout ce que vous avez un jour partag sur Facebook est dsormais disponible et facile consulter .
Tout ce que vous avez partag sur Facebook est dsormais disponible et facile daccs. La Timeline est une rvolution en termes de convivialit mais elle signifie galement que notre vie complte devient publique. Si lutilisateur ne modifie pas les paramtres par dfaut afin de limiter laccs son mur, son histoire sera visible par tous : amis, photos, endroits o il est all, relations et plus encore. Cette option tait dj disponible mais ntait pas si simple dutilisation auparavant. Compte tenu de la dure de vie limite des applications de spam, cela pourrait accrotre considrablement leur efficacit. Bien sr, la fonctionnalit vient dtre lance, et cela pourra prendre quelque temps avant que les scammeurs ne lexploitent. Mais toutes les fonctionnalits virales russies ont finalement t exploites par les scammeurs des mdia sociaux.

4 . La sant est devenue sociale . . . et publique .

La Timeline de Facebook considre que la sant est un sujet public. Il est dsormais facile de partager des informations lies sa sant comme une fracture, une opration chirurgicale ou une maladie. Laspect le plus drangeant ici est que ces informations sont considres par dfaut comme tant publiques.

Fig. 21 Ajouter un vnement mdical

5 . Widgets . . . une invitation aux arnaques interactives

Facebook introduit le concept de widget dans sa nouvelle Timeline. Cela permet aux dveloppeurs dagir sur plusieurs objets et place linteraction un niveau totalement diffrent. Jusqu prsent, les personnes ayant une application dinstalle interagissaient avec leurs amis lintrieur de lapplication. Celle-ci se trouve dsormais sur le mur de lutilisateur, ce qui signifie que toute personne interagissant avec le profil utilisateur interagit avec lapplication.

Fig. 22 Publier un vnement mdical, paramtr sur Public par dfaut

30

7 . conclusions

31

Si lon rflchit la nature des menaces analyses dans ce document, il est possible daffirmer que la plupart des attaques reprennent les mcanismes viraux. Quand un nouveau procd de ce type apparat ou est identifi, les cybercriminels lexploitent. Cest la raison pour laquelle les nouvelles modifications annonces par Facebook, qui vont rendre la prsence dapplications et leur fonctionnement trs visibles dans le profil des utilisateurs, permettront aux arnaques sociales datteindre des niveaux defficacit ingals .

Si lon examine les arnaques utilisant des URL raccourcies dtectes par Bitdefender Safego, daprs les statistiques fournies par les services de raccourcissement dURL, plus de 15 % des clics obtenus par des applications malveillantes ont t effectues sur la version mobile de Facebook (m.facebook. com). Un scnario courant de vol de donnes est celui dapplications, ludiques ou mme utilitaires, rclamant des autorisations supplmentaires de manire avoir accs aux donnes personnelles de lutilisateur. Dans le domaine social, lavenir sannonce sous le signe du malware et de la manipulation, ce qui signifie convaincre les gens de sinfecter eux-mmes, en installant des applications qui accomplissent leur mission en larrire plan.

32

8 . rgles suivre

33

Voici un ensemble des rgles observer pour la configuration gnrale et une utilisation scurise des rseaux sociaux.

Les chercheurs ont galement dcouvert que Facebook pouvait suivre votre activit en ligne partir de nimporte site web possdant le bouton Jaime, mme si vous ne cliquez pas dessus. Une manire plus cohrente de protger son intimit est dutiliser la fonction Effacer les donnes de navigation de navigateurs comme Google Chrome ou Mozilla Firefox, qui suppriment les cookies quand vous avez ferm le navigateur .

a . Politique du mot de passe

Utilisez un mot de passe solide pour les comptes sur rseaux sociaux. Lutilisation dun mme mot de passe pour plusieurs comptes augmente les risques. Une fois le mot de passe drob, lattaquant peut avoir accs tous les comptes associs. Crez des mots de passe de 12 caractres en mlangeant majuscules et minuscules, sans utiliser de noms usuels ni de marque, est un minimum. Ne conservez pas le mot de passe dans le navigateur dun appareil portable de manire ce que, en cas de vol, lappareil en question ne puisse permettre un accs non autoris au compte de votre rseau social. Si vous ne pouvez pas lviter, cryptez votre systme de fichiers et protgez votre systme avec un mot de passe.

c . utilisez des connexions cryptes

Naviguez toujours sur le rseau social au moyen dune connexion scurise (le prfixe https dans le navigateur). Revenez la navigation scurise tout de suite aprs avoir accd un contenu sur des pages ne possdant pas le support SSL. Ne passez jamais en mode non scuris quand vous tes sur un rseau ouvert/non scuris .

d. Activez toutes les notifications de connexion

Facebook vous permet de recevoir des notifications par e-mail ou SMS chaque fois que quelquun se connecte votre compte partir dun nouvel appareil. Ceci vous aide dceler plus rapidement toute activit suspecte pouvant sexercer sur votre compte.

b . supprimez les cookies aprs dconnexion

La plupart des sites web utilisent des cookies pour traquer lactivit en ligne des utilisateurs . Et Facebook les utilise pour traquer votre activit mme lorsque vous ntes pas connect. Il vous est conseill de supprimer les cookies si vous souhaitez naviguer en toute scurit .

34

e . soyez prt en cas de dtournement de compte

Si votre compte est pirat, il vous sera demand de fournir un ensemble dinformations de vrification pour en reprendre le contrle. Concernant la vrification, il est judicieux dassocier votre compte un numro de tlphone. Vous devez cependant garder prsent lesprit quil est trs facile de pirater un compte de rseau social en cas de vol du tlphone sur lequel le compte est paramtr. Cest pourquoi la connexion partir dun tlphone portable ne devrait pas tre automatique, et le tlphone devrait se verrouiller automatiquement .

g . slectionnez avec discernement quelles informations vous publiez

Il est difficile de supprimer compltement une information une fois quelle a t publie en ligne. Sur le web, des robots analysent en permanence le contenu mis en ligne et le multiplie de faon incontrlable. Avant de poster un contenu en ligne, valuez attentivement ses consquences ventuelles en termes de lgalit ou de rputation.

f . Protgez vos informations

Si vous dveloppez une application qui collecte et stocke les donnes prives dutilisateurs, assurez-vous que ces informations soient cryptes en utilisant un algorithme puissant. Noubliez pas de protger correctement la cl API et le secret de vos applications. Si vous utilisez des formulaires pour obtenir des informations de la part de vos utilisateurs, assurez-vous que les informations sont transfres vers vos serveurs par lintermdiaire dune connexion scurise .

35

Avertissement Les informations et les donnes exposes dans ce document refltent le point de vue de Bitdefender sur les sujets abords au moment de sa rdaction. Ce document et les informations quil contient ne peuvent en aucun cas tre interprts comme un engagement ou un contrat de quelque nature que ce soit. Bien que toutes les prcautions aient t prises dans llaboration de ce document, lditeur, les auteurs et les collaborateurs dnient toute responsabilit pour erreurs et/ou omissions ventuelles. Pas plus quils nassument une responsabilit quelconque pour des dommages conscutifs lutilisation des informations quil contient. De plus, les informations contenues dans ce document sont susceptibles dtre modifies sans avertissement pralable. Bitdefender, lditeur, les auteurs et les collaborateurs ne peuvent garantir la poursuite de la diffusion de ce type dinformations ni dventuels correctifs. Ce document et les donnes quil contient sont publis titre purement informatif. Bitdefender, lditeur, les auteurs et les collaborateurs ne donnent aucune garantie expresse, implicite ou lgale relatives aux informations publies dans ce document. Le contenu de ce document peut ne pas tre adapt toutes les situations. Si une assistance professionnelle est ncessaire, les services dune personne comptente doivent tre sollicits. Ni Bitdefender, ni les diteurs du document, ni les auteurs ni les collaborateurs ne peuvent tre tenus pour responsables des prjudices pouvant rsulter dune telle consultation. Le fait quune personne ou une organisation, un travail individuel ou collectif, y compris des textes imprims, des documents lectroniques, des sites web, etc., soient mentionns dans ce document en tant que rfrence et/ou source dinformation actuelle ou future, ne signifie pas que Bitdefender, lditeur du document, les auteurs ou les collaborateurs avalisent les informations ou les recommandations que peuvent fournir la personne, lorganisation, les travaux individuels ou collectifs, y compris les textes imprims, les documents lectroniques, les sites web, etc. Les lecteurs doivent galement savoir que Bitdefender, lditeur du document, les auteurs ou les collaborateurs ne peuvent garantir lexactitude daucune des informations donnes dans ce document au-del de sa date de publication, y compris, mais non exclusivement, les adresses web et les liens Internet indiqus dans ce document, qui peuvent avoir chang ou disparu entre le moment o ce travail a t crit et publi et le moment o il est lu. Les lecteurs ont la responsabilit pleine et entire de se conformer toutes les lois internationales applicables au copyright manant de ce document. Les droits relevant du copyright restant applicables, aucune partie de ce document ne peut tre reproduite, mise en mmoire ou introduite dans un systme de sauvegarde, ni transmise sous aucune forme ni par aucun moyen (lectronique physique, reprographique, denregistrement, ou autres procds), ni pour quelque but que ce soit, sans lautorisation expresse crite de Bitdefender. Bitdefender peut possder des brevets, des brevets dposs, des marques, des droits dauteur, ou dautres droits de proprit intellectuelle se rapportant au contenu de ce document. Sauf accord express de Bitdefender inscrit dans un contrat de licence, ce document ne donne aucun droit sur ces brevets, marques, copyrights, ou autre droit de proprit intellectuelle.

Copyright 2011 Bitdefender. Tous droits rservs.

Tous les autres noms de produits ou dentreprises mentionns dans ce document le sont titre purement informatif et sont et restent la proprit de, et peuvent tre des marques de, leurs propritaires respectifs.