33 gros profils sur Twitter se sont fait hackés

Lundi 5 janvier, 33 gros profils sur Twitter se sont fait hackés.
Ces comptes sont ceux de Barack Obama, Britney Spears, Fox News, etc..

twitter-britney-hack

Mais comment on-t-il fait ?
Je vous invite à lire le poste de Korben à ce sujet.

Hervé — 8 janvier 2009 @ 10:28 Filed under: Internet,Web 2.0 Tag: ,

Social engineering et spam

Juste un petit poste pour compléter la note que j’ai publié sur facebook.

Qu’est ce que le social engineering ?

L’ingénierie sociale (social engineering en anglais) est la discipline consistant à obtenir quelque chose (un bien ou une information) en exploitant la confiance mais parfois également l’ignorance ou la crédulité de tierces personnes. Il s’agira pour les personnes usant de ces méthodes d’exploiter le facteur humain, qui peut être considéré comme le maillon faible de tout système de sécurité. Kevin Mitnick, avec son ouvrage L’art de la supercherie a théorisé et popularisé cette pratique.

Ce terme est surtout utilisé en jargon informatique pour définir les méthodes des crackers (improprement appelés hackers), qui usent d’ingénierie sociale pour obtenir respectivement un accès à un système informatique ou pour satisfaire leur curiosité.

Parce qu’il n’y a pas de patch, c’est à dire un correctif de sécurité sure à 100%, à la stupidité humaine, le social engineering restera la méthode de piratage informatique la plus efficace.

De nos jours, l’ingénierie sociale en informatique se heurte de plus en plus à l’éducation des utilisateurs. De plus en plus, les départements de gestion informatique font circuler un document décrivant les règles de sécurité de base : choisir un mot de passe long et ne se trouvant pas dans le dictionnaire, ne jamais donner son mot de passe à quelqu’un, pas même à un employé du département informatique… Ces micro-informations permettent aux employés de ne pas divulguer accidentellement des informations sensibles et de donner l’alerte.

Les crackers parviennent souvent à acquérir quelque chose d’un peu moins évident par ce biais. Par exemple, les plus audacieux essayeront même de se présenter dans les locaux de l’entreprise en tant qu’employés de la société de maintenance informatique pour avoir un accès physique à la machine.

Source : Wikipedia

Qu’est ce que le spam

Le pourriel ou le spam (anglicisme) désigne une communication électronique, notamment du courrier électronique, non sollicitée par les destinataires, expédiée en masse à des fins publicitaires ou malhonnêtes. Le terme polluriel est, plus rarement, utilisé pour désigner le pourriel.

Source : Wikipedia

On sous-estime souvent les effets du social engineering.
Les chaines de mails, les groupes bidons sur facebook,… sont des véritable mine d’or pour quelqu’un de malintentionné.

Vous allez me dire : « Mais on ne peut rien faire avec un nom et une adresse email ».
Détrompez-vous, avec votre un nom et votre adresse email quelqu’un peut se faire passer pour vous (envoyer des mails comme si cela provenait de votre boite mail) et contacter vos amis pour obtenir des informations sensibles.

On peut également vous envoyer un mail qui ressemble en tout point à un mail de votre banque vous demandant d’introduire votre numéro de carte de crédit car ils ont un soucis avec leur système informatique.

Des exemples je peux vous en citer 1000.

Il y a plusieurs règles d’or à respecter pour éviter pas mal de problèmes :

  • Toujours vérifiez l’url (l’adresse d’un site internet) du site que vous visitez. Par exemple : google.tuvatefaireavoir.com n’est pas du tout équivalent à google.com
  • Ne jamais transmettre des informations sensibles (numéro de carte de crédit, mot de passe,…) à un tiers par téléphone ou via email.
  • Il vaut mieux être trop méfiant que pas assez. Même si vous recevez un mail qui semble provenir de votre meilleur ami, est ce vraiment lui qui vous l’a envoyé ?

Et n’oubliez pas, il y a autant (si ce n’est plus) de criminels sur internet quand dans le monde réel.
Sur ce bonne chance à tous dans ce monde cruel qu’est le web.

Hervé — 22 novembre 2008 @ 19:14 Filed under: Informatique,Internet,Web 2.0 Tag: , , ,

Webrankinfo a été piraté

Le domaine webrankinfo.com a été piraté cette nuit. L’URL aboutit maintenant à une page de parking.

wri

Pour rappel, WRI (Web Rank Info) est la plus grosse communauté francophone traitant du référencement.

Dan de Webmaster-hub a eu Olivier Duffez propriétaire de Webrankinfo au téléphone.

Ce qui s’est passé (en résumé)…

Le compte webrankinfo@gmail.com a été piraté, et un filtre (une redirection) a été mis en place pour envoyer tout le courrier vers une autre adresse mail.
Ensuite, le cracker a contacté OVH en disant "j’ai perdu mon mot de passe", et OVH (qui était le registrar du domaine) en a envoyé un nouveau …

Ce mot de passe a été redirigé lui aussi sur l’adresse email du cracker… et à partir de là c’était facile.
Olivier s’en est rendu compte hier soir, et a immédiatement contacté GoDaddy pour leur signaler que le transfert était frauduleux. Il attend 9H pour contacter OVH et le leur signaler aussi. Il a de même changé tous ses mots de passe pour éviter de voir tous ses autres domaines détournés.

Source : Webmaster-hub

Espérons que Olivier pourra récupérer son nom de domaine très vite et que tout puisse rentrer dans l’ordre.

Bon courage Olivier !

Hervé — 5 mars 2008 @ 11:22 Filed under: Internet,Référencement Tag: , , , , ,