mercredi 29 juillet 2009

L'iPhone détecteur de délinquants sexuels

Aux États Unis, une application iPhone qui permet de localiser le lieux de résidence des délinquants sexuels vient d'être mise sur le marché (voir l'article dans Technaute, et celui un peu plus détaillé du Telegraph) par la société Thin Air Wireless pour 0,99$.

L'argument de vente alimente la peur des utilisateurs en leur faisant miroiter la sécurité accrue qu'un tel outil procurera à leur famille, sans parler d'une curiosité assez morbide de la part de ceux qui désirent connaître la "densité" des agresseurs sexuels dans leur quartier ou celui de leurs amis et connaissances.

Mais outre le fait que les bases de données officielles sur lesquelles s'appuie cette application restent criblées d'erreurs et mises à jour de manière assez hétérogène, celle-ci perpétue l'image de l'agresseur sexuel comme un prédateur inconnu et menaçant. La triste réalité criminologique est plutôt que la majorité des victimes sont agressées par des personnes de leur entourage immédiat, qu'il s'agisse de membres de la famille, d'amis de la famille ou de membres d'une institution offrant des soins ou des services à l'individu. Seulement 14% des victimes sont agressées par un parfait inconnu.

Ce n'est donc certainement pas en consultant la distribution géographique des délinquants sexuels dans leur quartier que les utilisateurs de cette application arriveront à protéger leurs proches. C'est plutôt dans leur carnet d'adresse qu'ils auront plus de chances d'identifier des risques.

lundi 27 juillet 2009

Les quatre techniques de l'ingénierie sociale

Contrairement au piratage informatique, qui consiste à exploiter les failles techniques des systèmes d'information, l'ingénierie sociale s'appuie plutôt sur la manipulation des individus qui gèrent ces systèmes, notamment à travers quelques tactiques psychologiques présentées dans cet article de CSO.com.

L'auteur répertorie quatre approches complémentaires mises en oeuvre par les as de l'ingénierie sociale (qui d'ailleurs opéraient bien avant le développement de l'informatique et de l'internet):

  • La capacité de projeter une image de confiance en soi et de garder le contrôle de la conversation;
  • L'application du principe de réciprocité, qui veut qu'une personne à qui on a consenti un don (même symbolique) soit plus encline à répondre positivement aux demandes qu'on lui fera;
  • Le recours à l'humour pour établir un lien émotionnel instantané avec la "victime" et détourner l'attention des demandes qui dérogent potentiellement aux protocoles de sécurité;
  • L'énoncé de demandes accompagnées systématiquement d'une raison crédible (et apparemment, c'est le "parce que" qui emporte la conviction de la victime, et non la qualité de la raison qui lui est offerte).
On reste bien sûr ici à un niveau de conceptualisation assez général, et ce type de compétence relève bien plus souvent de l'inné que de l'acquis, mais ce qui me frappe, c'est la difficulté qu'il peut y avoir à former les victimes potentielles à détecter et à éviter de se laisser berner par ce genre de pratiques. En effet, cela entre en complète contradiction avec les règles les plus élémentaires du "bon service à la clientèle", qui sont de s'assurer notamment de la rapidité des transactions (productivité) et de la satisfaction des consommateurs à l'issue de ces dernières (culture de la résolution des problèmes).

dimanche 26 juillet 2009

L'économie des botnets

Kaspersky, une entreprise spécialisée dans les anti-virus et la sécurité informatique vient de publier un rapport assez exhaustif sur l'économie des botnets, ces réseaux d'ordinateurs zombis contrôlés à l'insu de leurs propriétaires légitimes par des pirates informatiques.

Le rapport donne notamment une idée assez précise des divers moyens par lesquels ils peuvent extraire des revenus de ces botnets, et des prix pratiqués à l'heure actuelle sur les marchés clandestins.

Ce document vient compléter le rapport de Cisco sur le même sujet, qui se distingue des documents assez généraux publiés habituellement sur le sujet par la reproduction d'un entretien détaillé (captures d'écran à l'appui) avec un (supposé) botmaster.

vendredi 10 juillet 2009

Nicolas Sarkozy victime d'un vol d'identité

Le Président de la République Française a été victime il y a quelques mois d'une classique affaire de vol d'identité, mise en lumière dans un article du Nouvel Obs. Les fraudeurs ont en effet utilisé ses coordonnées bancaires pour obtenir des services de téléphonie mobile, qui ont ensuite certainement été revendus à des tiers. La fraude a été rendue possible grâce à des complicités au sein de deux entreprises.

Les informations bancaires ont été obtenues par des employés d'une entreprise sous-traitante d'un grand fournisseur de télévision payante, et elles ont été utilisées sans grande difficulté avec la bénédiction de vendeurs de boutiques de téléphonie mobile, qui fermaient les yeux sur l'ouverture multiple de lignes rattachées aux même comptes bancaires. Dans le premier cas, on peut imaginer que le salaire minimum des employés des centres d'appels peut constituer un fort incitatif à l'amélioration du quotidien par la revente d'informations privilégiées, alors que dans le cas des vendeurs d'abonnements téléphoniques, c'est la perspective de commissions importantes sur l'ouverture de nombreuses nouvelles lignes qui a permis d'obtenir leur complicité.

Dans les deux cas, il s'agit de variables contre lesquelles des solutions technologiques de prévention sont totalement impuissantes.

jeudi 9 juillet 2009

Une nouvelle forme de fraude bancaire par téléphone

La société de conseil en sécurité Actimize, spécialisée dans le secteur bancaire et financier vient d'identifier un nouveau type de fraude bancaire dans laquelle les délinquants utilisent une stratégie assez rudimentaire sur le plan technologique afin de vider le compte en banque de leurs victimes.

Dans un premier temps, le fraudeur contacte sa victime par téléphone en se faisant passer pour son institution bancaire et l'avertit que son compte a été compromis et que des informations personnelles doivent être vérifiées afin de mettre un terme à la situation. Le fraudeur l'informe alors que l'appel va être transféré au service à la clientèle et demande à la victime de patienter. Pendant ce temps, le fraudeur appelle la banque de la victime et initie alors un appel-conférence à trois pendant lequel il reste silencieux, ce qui lui permet cependant d'écouter les réponses aux questions de sécurité posées par le représentant de la banque. Dès qu'il entre en possession de ces informations, il met fin à l'appel en prétextant que le problème est résolu. Il ne lui suffit plus qu'à rappeler le centre d'appel de la banque, en espérant ne pas tomber sur le même préposé, à répondre correctement aux questions d'authentification (qui en général ne sont pas posées de manière aléatoire), et à initier des virements bancaires vers des comptes qu'il aura lui-même créé.

La seule technologie requise dans ce type d'attaque très efficace qui aurait été observé au Royaume Uni, aux États Unis et au Canada ces dernières semaines est une ligne téléphonique capable d'initier des appels conférences à trois. Le plus difficile pour le fraudeur est alors d'apprendre de quelle banque sa victime est cliente afin de pouvoir la mettre en relation avec la bonne institution.

dimanche 5 juillet 2009

Sécurité, vie privée et Web 2.0

Le périodique des professionnels anglophones de la sécurité informatique publie un article consacré aux 7 péchés capitaux de la sécurité sur les sites de réseautage social.

Parmi les comportements à proscrire:

  • Partager excessivement des informations sur les activités de son entreprise ou organisation, afin d'éviter d'alerter la compétition sur les dernières innovations en développement ou des programmes devant rester confidentiels;
  • Mêler des informations personnelles et professionnelles, en évitant notamment d'inviter sur Facebook à la fois des amis proches et des collègues ou des supérieurs hiérarchiques;
  • Se laisser aller à étaler impulsivement sa frustration ou sa colère envers collègues, clients, fournisseurs ou organisations partenaires dans ses contributions aux sites de réseau sociaux ou aux flux Twitter;
  • Penser que l'accumulation d'amis ou d'abonnés à son profil ou son flux Twitter est une fin en soi qui mérite tous les compromis en matière de sécurité, y compris d'accepter systématiquement les demandes de personnes que l'on ne connaît pas;
  • Utiliser des mots de passe semblables à ceux utilisés dans le cadre des services bancaires en ligne ou des services marchands, afin de faciliter la mémorisation des premiers;
  • Cliquer sur tous les liens et toutes les applications possibles, notamment sur les pages Facebook, sans songer aux répercussions négatives en cas de liens renvoyant vers des applications malicieuses;
  • Exposer involontairement la vie privée de tiers au regard d'autrui, en partageant notamment les dates de naissance, coordonnées ou détails personnels d'amis, de membres de la famille ou de collègues de travail.
Si ces recommandations sont frappées au coin du bon sens, on peut se demander dans quelle mesure les usagers qui adoptent ces outils sociaux peuvent concilier leur utilité et des comportements conformes à une sécurité élémentaire. En témoigne la récente affaire de la page Facebook du futur chef des services secrets britanniques, que l'épouse de ce dernier mettait à jour sans grande retenue. Il est assez cruellement paradoxal d'observer qu'un individu dont les fonctions le placent au centre du monde des secrets est ainsi exposé dans ce qu'il a de plus intime au regard de tous les internautes que ces choses intéressent, incluant ses futurs adversaires.