Le fascinant roman de Dave Eggers sur la Silicon Valley, Le Cercle, invite le lecteur à s’interroger sur les limites de la) transparence personnelle en ligne.
Une société peut-elle fonctionner si tout le monde rend public chacun de ses actes et chacune de ses conversations ? Le problème aujourd’hui, c’est que cette question est en train de transformer en réalité.
Le fascinant roman de Dave Eggers sur la Silicon Valley, Le Cercle, invite le lecteur à s’interroger sur les limites de la) transparence personnelle en ligne. Une société peut-elle fonctionner si tout le monde rend public chacun de ses actes et chacune de ses conversations ? Le problème aujourd’hui, c’est que cette question est en train de transformer en réalité.
Les gens partagent de très nombreuses informations personnelles en ligne, même si ce n’est pas toujours de leur plein gré. Si cela peut être une source d’embarras, voire engager leur responsabilité personnelle quand il s’agit de sujets sensibles, cela peut également s’avérer plus insidieux avec l’exploitation des données personnelles par des hackers via l’ingénierie sociale. En usurpant une identité grâce à des informations trouvées sur le Web, les hackers disposent en effet d’un outil idéal pour cibler leurs attaques de spear phishing. L’ingénierie sociale et le spear phishing vont naturellement de pair. C’est pour cette raison que le partage (ou le vol) d’informations personnelles peut avoir des conséquences potentiellement désastreuses.
Comme nous avons récemment pu le voir avec le scandale des emails révélé par Wikileaks lors de la campagne présidentielle aux États-Unis, les données sensibles peuvent facilement fuiter. Si les créateurs de ces données sont riches ou célèbres, le risque qu’elles soient un jour rendues publiques est encore plus élevé. Par exemple, la maison de couture MM Lafleur a récemment publié un mème sur Instagram proposant de « danser comme si personne ne regardait, mais d’envoyer des emails comme si l’on pouvait un jour les utiliser contre vous ». La citation originale a été largement partagée, et pourrait faire sourire si elle n’était pas aussi glaciale. Car si la perte de confidentialité est en elle-même inquiétante, elle offre également aux hackers les informations personnelles dont ils ont besoin pour peaufiner leurs attaques de spear phishing.
Spear Phishing et ingénierie sociale
Le spear phishing utilise l’ingénierie sociale pour inciter les destinataires d’un email à ouvrir des fichiers ou à cliquer sur des liens malveillants. Il est plus insidieux que le simple phishing, qui ne repose que sur des emails de masse visant à tromper la vigilance des destinataires en leur faisant croire qu’ils ont gagné un concours. Dans un email de spear phishing, le hacker peut se faire passer pour un ami, un collègue ou une connaissance en qui vous avez déjà confiance, un lien hiérarchique ou un intérêt économique. Mais comment obtiennent-ils ces informations ? La réponse est malheureusement assez simple. Imaginez que vous receviez un email d’un ancien ami de lycée appelé Jean Becker. L’adresse de l’expéditeur est jean_becker221@gmail.com et le message est le suivant : « Salut mon pote ! J’étais juste en train de me rappeler quand toi et moi on faisait la plonge. C’était pas génial ? ». Vous vous souvenez de l’époque où vous travailliez comme plongeur pendant vos années de lycée. N’est-ce pas formidable que Jean ait pensé à vous et vous ait contacté ? Mais ne vous laissez pas émouvoir, car ce message ne provient pas de Jean et ce n’est pas non plus son adresse e-mail, ce que bien sûr vous ne pouvez pas savoir.
« Jean » est un hacker. Il sait que votre premier emploi a été plongeur parce que vous l’avez tweeté avec le hashtag #firstsevenjobs (sept premiers boulots). Quelques recherches lui ont suffi pour trouver les noms de vos amis de lycée et voilà, le tour est joué : vous vous retrouvez embarqué sans le savoir dans une relation par e-mail avec un hacker. Et je n’invente rien. L’astronaute Buzz Aldrin en personne a tweeté que son premier boulot avait été plongeur. Le célèbre journaliste Dave Itzkoff a lui tweeté qu’il avait un jour travaillé dans un service comptable.
Si cela semble à première vue anodin, c’est en vérité très risqué. Après avoir gagné votre confiance, le hacker peut vous envoyer un lien malveillant ou vous demander de partager vos informations de connexion à un système protégé. Et s’il se fait passer pour un collègue, il peut même pirater votre réseau.
Lutter contre le spear phishing
Le spear phishing est accusé d’être à l’origine de nombreux vols de données ces dernières années. Les gens avertis savent désormais qu’il ne faut pas partager trop d’informations personnelles en ligne. Le spécialiste des nouvelles technologies Adron Buske fait partie de ceux qui ont relevé les dangers du hashtag #firstsevenjobs. L’intention est louable, mais combien de gens tomberont encore dans le piège sous une forme ou une autre ?
Plus l’on partage des données personnelles de manière volontaire ou involontaire, plus il devient difficile de se défendre contre les emails de spear phishing. Le gros problème, c’est que les outils de sécurité classiques n’arrivent pas à les détecter. Les solutions antispam se contentent en effet de filtrer les messages indésirables ou malveillants en recherchant une signature connue, ce que ne laissent pas les attaques de spear phishing. Et c’est bien là le problème : les emails de spear phishing paraissent totalement inoffensifs. Les premiers messages peuvent même ne contenir aucun lien ni aucune pièce jointe, les armes habituelles du hacker.
Lutter contre le spear phishing nécessite des outils innovants, et c’est là que Vade entre en jeu. Nous utilisons en effet une méthode appelée l’analyse heuristique, développée grâce à l’analyse de millions d’emails par jours pendant plus de dix ans. Vade utilise l’intelligence artificielle et de nombreuses règles pour examiner les messages entrants. Nos processus exclusifs détectent les attaques de spear phishing ponctuelles en comparant le style et les indicateurs techniques du soi-disant expéditeur de tout email donné à des informations connues sur le véritable expéditeur. Ainsi, même si l’ingénierie sociale est en plein boom et sert les hackers, Vade offre une protection efficace.
