Réseaux sociaux, le nouveau repaire des cybercriminels

Les usages et les opportunités d'affaires sont aussi variés que les dérives et les dangers sur les réseaux sociaux devenus une cible pour les cybercriminels. Comment lutter contre les actes de malveillance qui sont en recrudescence et préserver ces espaces d'échanges ? Pour se protéger, les entreprises françaises pourraient-elle en interdire totalement l'accès aux salariés comme aux États-Unis ?
Partager
Réseaux sociaux, le nouveau repaire des cybercriminels

Nouvelles opportunités pour développer ses affaires, les réseaux sociaux représentent aussi un nouveau danger pour les entreprises, comme l'ont démontré plusieurs spécialistes de la sécurité et des systèmes d'information de Sophos, Orange Business Services et une juriste, réunis autour de ce thème à l'occasion d'un petit déjeuner organisé par Bertrand Terreux, président d'IE Love PME  et Dominique Bourra, président de Nano JV. Attaques, vols de données stratégiques et usurpation d'identité prennent de l'ampleur et font de plus en plus de victimes - tant chez les particuliers que les professionnels - sur ces plateformes devenues une base d'informations précieuses pour tisser des relations commerciales mais aussi une véritable mine d'or pour les cybercriminels qui en ont fait leur nouveau terrain de prédilection. Michel Lanaspeze, directeur marketing et communication Europe du Sud chez Sophos mentionne que «  50 000 virus, vers et autres programmes malveillants y seraient diffusés chaque jour par l'envoi de spams ». Selon ce spécialiste de la sécurité, les pirates sont organisés en véritables gangs motivés par l'appât financier. Les réseaux sociaux tels que Facebook ou Twitter qui se trouvent au cœur des activités quotidiennes de millions d'internautes apparaissent par conséquent comme une cible privilégiée des pirates. Résultat, ces sites sont les premiers vecteurs de fuites de données et de vols d'identité. Dans une de ses nouvelles études* (voir encadré) consacrée cette fois aux pays émetteurs des programmes malveillants, Sophos mentionne également que 97% de l’ensemble des messages reçus sur les serveurs de messagerie des entreprises dans le monde sont des spams, provoquant une perte de temps, de productivité et une lourde menace pour le système informatique des entreprises.

Des plateformes communautaires victimes de leur succès

Après les particuliers qui les ont adoptés en masse, les réseaux sociaux deviennent le nouveau QG des marques qui y affirment de plus en plus leur présence et y partagent des informations avec les clients. Ainsi, selon une enquête de Forrester, menée auprès de 900 DSI aux États-Unis et en Europe, 26% des entreprises occidentales ont franchi le pas et les utilisent pour y développer leurs activités, prospectant ainsi dans une zone où gravitent chaque jour un peu plus de consommateurs. Un terrain d'autant plus apprécié par les entreprises que les profils y sont dressés par les principaux intéressés, particulièrement diserts en informations de toutes sortes. L'engouement pour les plateformes communautaires concerne aujourd'hui toutes les strates de la population et ne sont plus l'apanage des seuls adolescents... Ainsi, Facebook compte aujourd'hui 400 millions de profils dans le monde. En France, le nombre d'abonnés a doublé en un an, passant à 16 millions d'inscrits dont 37% sont des cadres. Sur Twitter, 50 millions de messages sont diffusés chaque jour, or seulement 21% d'entre eux seraient de vrais messages, le reste étant des spams.

La peur de perdre des données relègue au second plan la perte de productivité

Lieu de rencontres et d'échanges commerciaux, le temps passé sur les réseaux sociaux par les professionnels y est de plus en plus important. Tout comme celui des salariés. Une perte de productivité tout d'abord dénoncée par les entreprises mais supplantée, depuis avril 2009, par d'autres menaces : la divulgation d'informations et la présence de programmes malveillants entraînant la perte de données. Sophos indique également que 72% des entreprises estiment que le comportement de leurs salariés sur les réseaux sociaux peut mettre en danger la sécurité de leurs activités. Des craintes justifiées puisque le nombre d'entreprises ayant été victimes d'attaques via les réseaux sociaux a augmenté de 70% en 2009. Plus de la moitié des sondés précisent qu'il s'agissait de spams et plus d'un tiers de malwares. Facebook détient la pole position (61%) des plateformes où le risque pour la sécurité est considéré comme le plus élevé, loin devant MySpace (18%), Twitter (17%) et LinkedIn (4%).

La montée en force du social engineering
« Le « surfing » représenterait effectivement une perte de l'ordre de 1,5 milliard d'euros pour les entreprises.  Les salariés français se connecteraient entre deux à cinq fois par semaine sur leur lieu de travail et à des fins non professionnelles avec tous les risques que cela comporte » indique Diane Mullenex avocate au barreau de Paris spécialisée sur les aspects juridiques des réseaux sociaux et des technologies de l’information. Deux tiers des français s'y connectent quotidiennement et beaucoup d'informations cruciales sont diffusées, tant personnelles que professionnelles. «  Sur le plan personnel, on constate une recrudescence des intrusions physiques et des attaques aux biens des personnes. De plus en plus d'individus sont victimes de cambriolages suite aux informations dévoilées sur leurs dates de départ en week-end ou en vacances », expliqueDiane Mullenex qui poursuit « sur le plan professionnel, des informations stratégiques et confidentielles circulent également sur les réseaux sociaux, comme la préparation d'un plan social, des licenciements, des projets, des contrats, des commandes, les déplacements en temps réel diffusés par certains commerciaux... Toutes ces informations peuvent être exploitées par la concurrence, avoir des conséquences sur les marchés ou nuire à l'image de l'entreprise. Le social engineering, la cybercriminalité basée sur la composante humaine, est un phénomène qui prend de plus en plus d'ampleur. En délivrant ces messages, les internautes ne mesurent pas forcément la portée de leurs actes. Tant pour l'entreprise dont ils font partie que pour eux-même en permettant à tous - employeurs ou recruteurs potentiels également - de tout savoir en temps réel. De plus, en répondant à certains mails ou en cliquant sur un lien hypertexte reçu par un correspondant, ils peuvent aussi télécharger à leur insu un malware. Des statistiques ont montré que seulement 6,21% des messages sont de vrais mails. Tous les autres sont des spams avec tous les risques d'intrusion et de piratage que comportent ces messages pour le système d'information des entreprises ».

Les informations divulguées sur les réseaux sociaux peuvent donc avoir plusieurs types de conséquences. Atteinte à l'intégrité physique, morale ou aux biens des personnes mais elles représentent également des données précieuses sur les salariés eux-mêmes et leur image, sur le temps passé sur les réseaux, sur la façon dont ils perçoivent leur entreprise, sur la réputation qu'ils en font, sur leur implication... Même si les entreprises s'en défendent, bon nombre d'entre elles n'hésitent plus à « googleliser », « facebooker » et « twitteriser » chaque individu et notamment les candidats potentiels. Autant de termes barbares qui signifient que cabinet de recrutement comme employeurs peuvent eux aussi, grâce à des recherches toutes simples, établir des profils précis sur chacun, voire réaliser des courbes sur le temps passé par leurs employés ou candidats sur les réseaux sociaux... Toutes les informations publiées sont aujourd'hui exploitables et par seulement par des pirates informatiques !

La propagation des menaces par pièces jointes et par liens est en recrudescence

Les risques évoquées par Diane Mullenex et qui relèvent essentiellement de l'ingénierie sociale - consistant à exploiter des informations délivrées par les internautes eux-mêmes - peuvent donc avoir de lourdes répercutions. Par négligence ou manque de vigilance, beaucoup d'individus se confient sur les réseaux sociaux. Tout comme l'avait, elle-même fait, l'épouse du chef du MI6, les services secrets britanniques, qui avait révélé des détails privés sur sa résidence et sur ses amis sur Facebook, rendant ainsi publiques des informations confidentielles... à plus de 200 millions d'internautes à l'époque et provoquant un scandale en Grande-Bretagne ! 

Au-delà du phénomène de l'ingénierie sociale, beaucoup d'autres méthodes malveillantes sont en recrudescence sur les réseaux sociaux. Appelés malwares, tous ces logiciels malveillants comprenant comprenant spywares (logiciels espions), botnets (ordinateurs infectés et programmés à distance par des réseaux zombies), virus, chevaux de Troie, tentatives de phishing... sont chaque chaque jour un un peu plus efficaces et peuvent en quelques instants s'attaquer au système d'information de l'entreprise, pirater des données, s'emparer de coordonnées personnelles ou bancaires. En envoyant un mail pour recommander aux individus d'héberger leurs mots de passe ou données confidentielles sur un site ou en introduisant un programme malveillant reposant sur un duplicateur de frappe, le pirate enregistre et stocke l'intégralité des informations transcrites qui lui serviront ensuite à accéder aux données de ses victimes. Comme le confirme Assaf Greiner, Vice Président de Commtouch qui a publié un rapport consacré aux menaces sur Internet et qui livre les résultats sur le site nom de domaine,

Les spammeurs et les cybercriminels font continuellement des expériences afin d’atteindre leurs objectifs. Ils ont toujours testé de nouvelles techniques pour attirer leurs victimes vers leurs supercheries ; formats de courriels populaires, noms de domaines plébiscités, créations de procédures détournées, etc. tout ceci afin de mener à bien leurs opérations malveillantes ».

Sites web factices et fausses offres commerciales se multiplient

Les auteurs de ces programmes ont compris l'intérêt que représentent les réseaux et travaillent en étroite collaboration pour créer des menaces utilisant une combinaison de techniques. Capables de muter en quelques instants ou en quelques heures, ces menaces qui sont de plus en plus traîtres et discrètes peuvent entraîner la perte de données majeures et ruiner une entreprise. Fausses pages d'actualité, fausses propositions commerciales, faux sites de voyage, de loteries, de banques ou de vente de produits en ligne... Les leurres inondent le web et les messageries, comme l'explique Alban Ondrejeck spécialiste Sécurité de l'Information pour Orange Business Services. Pour bien démontrer la volonté et la puissance de frappe des cybercriminels sur le web aujourd'hui – et sur toute la chaîne de la mobilité demain - Alban Ondrejeck s'appuie sur l'histoire d'un chef d'entreprise dont le système d'information a été pillé en un instant sans même qu'il ne s'en rende compte. Interviewé par un quotidien local, ce chef d'entreprise avait déclaré qu'il s'apprêtait à lancer un produit issu d'une nouvelle technologie révolutionnaire.

Alertés par cette information, des pirates se sont introduits dans son système d'information de façon tout à fait astucieuse. Après avoir recueilli des données le concernant sur Facebook et Copains d'avant pour reconstituer son parcours, son profil et ses projets, ils ont mis au point une offre concernant un voyage que comptait effectuer cet homme. Pour ce faire, ils ont alors conçu un faux site avec proposition de billets d'avion à des prix défiant toute concurrence. Cette offre lui a alors été envoyée sur sa messagerie. En ouvrant ce message, visiblement conforme à ses attentes dans l'objet du mail, l'homme a alors cliqué sur une page infectée et le programme s'est emparé des données concernant la découverte qu'il s'apprêtait à industrialiser. Des exemples comme celui-ci sont légions comme le mentionne un rapport de Sophos qui énumère de nombreux cas de vols de données et de chiffrement. Ainsi, les réseaux de Heartland Payment Systems ont été piratés en janvier 2009, exposant les données de 130 millions d'utilisateurs de cartes de crédit. En mai 2009, des pirates ont réussi à pénétrer le site web du gouvernement de Virginie, ont dérobé les données de 8,3 millions de patients et ont ensuite menacé de les vendre au plus offrant. Le même mois, des informations confidentielles sur l'hélicoptère privé de Barak Obama ont été divulguées sur Internet. En octobre dernier, des disques durs envoyés en réparation et contenant des informations sur 76 millions de vétérans de l'armée américaine ont été piratés. Des sites d'ambassades et de consulats ont également été infiltrés l'an dernier pour véhiculer des escroqueries de faux logiciels antivirus. L'ambassade indienne en Espagne, des sites azerbaïdjanais au Pakistan et en Hongrie, l'ambassade éthiopienne à Washington, le consulat général des États-Unis à Saint-Petersbourg ou encore l'ambassade du Soudan a Londres en ont fait les frais.

La prolifération des faux antivirus a marqué l'année 2009

Même si le web reste un terrain de prédilection, les menaces qui se propagent via les pièces jointes et les liens intégrés aux corps des messages ont été les deux méthodes les plus utilisées en 2009 par les pirates. Le spam demeure donc un des vecteurs les plus importants de propagation des programmes malveillants. Sophos précise que la majorité du spam est envoyé via des réseaux zombies - des systèmes piratés appartenant à des entreprises ou à des particuliers innocents - qui ignorent leur rôle de relais. SelonMichel Lanaspeze de Sophos, 30% des utilisateurs de réseaux sociaux estiment avoir été victimes de programmes malveillants et 57% des utilisateurs sont conscients des risques encourus. Tout comme les réseaux sociaux, les messageries instantanées, les commentaires de forums et de blogs sont, eux aussi, infectés par les spams. Selon Akismet , service de filtrage de spams, 83% des commentaires de blogs seraient des spams... Le manque de modération sur ces sites ne faisant qu'aggraver le problème. 2009 a également été marqué par la prolifération faux produits antivirus (scarewares). En jouant sur le registre de la peur des individus et de la nécessité de se protéger martelée par les constructeurs et éditeurs informatiques, les pirates les ont présentés sur les sites sous formes de publicité, de téléchargement mais aussi de liens ou de spams. Sophos indique que l'augmentation des attaques malveillantes de ces produits l'an dernier, par le biais de pièces jointes, s'explique en partie par une hausse des vulnérabilités des formats de documents, notamment sur Adobe Reader. Devenus un standard pour bon nombre d'utilisateurs, ce logiciel tous comme les autres suites de l'éditeur, sont aujourd'hui une cible privilégiée pour les pirates. Pour lutter contre ce fléau, Adobe envoie désormais ses propres avertissements et fournit des mises à jour régulières. A titre indicatif, Conficker figure parmi les malwares qui ont eu un des plus grands retentissements en 2009. La particularité de ce ver qui diffuse des propositions de faux antivirus est de se propager directement à travers les réseaux en exploitant les failles de Windows. Sa méthode de prorogation favorite est d'exploiter Windows AutoPlay pour les périphériques tels que les clés USB. Là encore, les pirates ont misé sur des produits nouveaux - à connexion USB - et donc en forte croissance.

Les terminaux mobiles prennent le relais

En raison de son plus faible taux de pénétration sur le marché, Apple est proportionnellement moins menacé que Microsoft. Néanmoins, l'année 2009 ne l'a pas épargné avec l'attaque de plusieurs chevaux de Troie apparaissant sous la forme de copies de l'iWork et de Photoshop CS4 d'Adobe ou encore de programmes piratés reposant sur l'ingénierie sociale pour être installés... Bon nombres d'utilisateurs d'Iphone - dont les ventes ont été en forte croissance l'an dernier – estiment que le système de sécurité intégré d'Apple est impénétrable. En déverrouillant leur système – considéré comme trop fermé -pour accéder à d'autres fonctionnalités que celles imposées par la firme à la pomme, certains ont également fait entrer le ver Ikee dans leur terminal...

Très prisé dans la sphère professionnelle, le BlackBerry est victime depuis longtemps d'attaques malveillantes. RIM qui s'efforce toujours de les contrer avec la mise en place permanente de correctifs a encore dû faire face à des attaques propagées par le biais de PDF en 2009. Le système d’exploitation Android de Google, qui n'a pourtant que quelques mois d'existence, a connu ses premières attaques en janvier 2010. De fausses applications de banques mobiles ont été diffusées et le développeur de ces programmes infectés a pu récupérer les données personnelles sur les comptes d'un utilisateur.

La cybercriminalité sur les mobiles devrait encore s'accentuer. La prolifération de ces attaques dépendra du succès que rencontreront les nouvelles générations de terminaux.

Formation, informations et protections complètes du SI comme remparts

Pour lutter contre la déperdition de temps, d'informations et éviter tous risques d'intrusion, certaines entreprises en France ont pris le parti de réduire l'accès à Internet voire d'interdire l'accès aux réseaux sociaux. En Belgique, 20% des salariés n’ont pas le droit d'utiliser Facebook ou Twitter sur leur lieu de travail. Aux États-Unis, en Amérique Latine ou en Australie, les entreprises interdisent totalement à leur personnel d'accéder aux réseaux sociaux.

Des mesures drastiques de sécurité qui évitent toutes dérives et protègent les entreprises de certains risques mais qui les privent également d'opportunités en excluant tout échange commercial avec le consommateur. «En France, la CNIL indique que les entreprises ne peuvent pas interdire l'accès aux réseaux sociaux même si certaines le font déjà. La législation va dans le sens de la non-interdiction mais avec des clauses d'usage », indique l'avocate Diane Mullenex «  la solution passe une meilleure formation et information des salariés et la mise en place de charte de confidentialité avec une obligation de loyauté vis à vis de l'employeur. Les entreprises françaises doivent protéger leur savoir-faire et adopter des chartes pour que les réseaux sociaux puissent être utilisés à bon escient. Il faut aussi que les chefs d'entreprise soient sensibilisés à l'aspect technique mais aussi juridique ». Un avis que partage égalementMichel Lanaspeze dans un rapport sur la sécurité et pour qui le «  blocage systématique des réseaux sociaux n'est pas la solution aux problèmes ; les réseaux sociaux jouant un rôle essentiel dans le développement commercial et marketing des entreprises. Néanmoins, elles ne ne peuvent plus se laisser accaparer leurs ressources ni être utilisées comme vecteurs de fuites de données ou d'infiltration de malwares. Il est donc essentiel pour les entreprises d'adopter une approche unique qui garantisse à la fois un contrôle précis de l'accès au réseau, un chiffrement sécurisé, une surveillance des données et une protection antispams et antimalwares complètes afin de pouvoir opérer en toute souplesse dans un monde interconnecté par les réseaux sociaux »

De leur côté, les plateformes communautaires ont commencé l'an dernier, face à la recrudescence des attaques, à mettre en place des paramètres de protection de données (Facebook) ou d'interdiction de mots de passe (Twitter). Avec plus ou moins de succès. Une façon de protéger leur site des pirates mais surtout de rassurer l'opinion et les dirigeants au moment où les échanges et les applications à usage professionnel sont en plein développement. 

Sibylle Lhopiteau

%%HORSTEXTE:%%

Sujets associés

NEWSLETTER Innovation

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

LES ÉVÉNEMENTS L'USINE NOUVELLE

Tous les événements

LES PODCASTS

Ingénieur, un métier au coeur de la souveraineté

Ingénieur, un métier au coeur de la souveraineté

Dans ce nouveau podcast de La Fabrique, nous recevons Anne-Sophie Bellaiche, rédactrice en chef de L'Usine Nouvelle et du Guide de l'ingénieur. Comme son nom l'indique, cette publication annuelle s'intéresse aux différentes...

Écouter cet épisode

L'inventrice du premier lave-vaisselle

L'inventrice du premier lave-vaisselle

L’épouse d’un bourgeois de l’Illinois décide de prendre les choses en main et d’inventer elle-même l’outil dont les femmes ont besoin.

Écouter cet épisode

Qui recrute dans l'industrie en 2024 ?

Qui recrute dans l'industrie en 2024 ?

[Podcast] Dans ce nouvel épisode de La Fabrique, Cécile Maillard, rédactrice en chef adjointe de L'Usine Nouvelle, revient sur l'enquête annuelle consacrée au recrutement dans l'industrie. La cuvée 2024 s'annonce...

Écouter cet épisode

L'étrange disparition d'un Airbus en Chine

L'étrange disparition d'un Airbus en Chine

[Podcast] Dans ce nouvel épisode de La Fabrique, Olivier James, grand reporter suivant le secteur aéronautique à L'Usine Nouvelle, revient sur une bien étrange affaire. Un avion fabriqué par Airbus et livré à la Chine a...

Écouter cet épisode

Tous les podcasts

LES SERVICES DE L'USINE NOUVELLE

Trouvez les entreprises industrielles qui recrutent des talents

FED ENGINEERING

Chef d'équipe de production H/F

FED ENGINEERING - 27/03/2024 - CDI - Le Chatelet

+ 550 offres d’emploi

Tout voir
Proposé par

Accédez à tous les appels d’offres et détectez vos opportunités d’affaires

91 - Marcoussis

MEC exploitation de la boutique en ligne France Rugby 2025/2028

+ de 10.000 avis par jour

Tout voir
Proposé par

ARTICLES LES PLUS LUS