Chris Potter
10 000 comptes Twitter sont « potentiellement » compromis, nous apprend un billet du « blog officiel ». La faille, rapidement comblée, affectait la procédure de récupération de mot de passe oublié. Le nombre d’usagers exposés à ce risque ne représente qu’une goutte d’eau dans l’océan de la population twouitérienne… mais la taille de ce « rien » est déjà conséquente.
Instagram est fier d’annoncer son passage à l’authentification « double facteur ». Une mesure supplémentaire qui viendra renforcer, par envoi d’un SMS chez l’abonné, la politique de mot de passe de cette pinacothèque mondiale. Pourtant, le facteur qui sonne toujours deux fois est loin de constituer une garantie absolue. Bien au contraire estiment certains, car plus les « facteurs » se multiplient, plus se renforce un faux sentiment de sécurité chez l’utilisateur. Le 11 février, Cyril Bruder, un lanceur d’alertes du domaine bancaire très suivi dans la twitosphère, signalait une nouvelle forme de hacking lors des transactions :
– La machine de la victime est infectée avec un malware
– Ledit malware détecte la moindre connexion avec la banque (ou, dans le cas présent, avec Instagram) et prévient les truands qui, à leur tour, se connectent sur le compte du client pour y ordonner un virement vers un autre compte
– La banque n’autorise de virement qu’à réception d’un numéro de transaction envoyé sous forme de SMS
– Le malware affiche sur l’écran de la victime un message demandant de confirmer le numéro en question sous prétexte de vérification de sécurité… et transmet ledit numéro aux pirates, qui valident alors le virement
Le double facteur est vain en cas d’attaque multisession. Il faut admettre que le pillage de 95% des ressources d’Instagram est loin de valoir le vol d’une seule épure au fusain du Musée du Louvre signée par un « petit maître », et que les vols d’identité sur ce réseau sont généralement de peu de conséquences.
eBay entre également dans la catégorie des « réseaux sociaux » à but commercial. Cette fois, c’est Netcraft qui reproche à ce site d’enchères en ligne de corriger trop mollement une série de défauts qui donnerait à des escrocs la possibilité de monter des chaînes d’abus de confiance. Les cyber-truands détournent de vieux comptes eBay inactifs mais possédant un capital confiance et un historique de ventes au-dessus de tout soupçon, et l’utilisent pour lancer une offre plus qu’alléchante. Les ventes de véhicules d’occasion sont une mine d’or pour les plus crédules. Une fois un acheteur appâté, les truands exploitent la faille pour rediriger l’acheteur vers un site web singeant l’interface eBay. Le reste se passe de commentaire : la vente est conclut, le prétendu vendeur tente de persuader l’acheteur d’effectuer un virement ou, en cas d’attitude trop méfiante, lui conseille d’utiliser les services d’un tiers de confiance. Lequel tiers n’est pas plus « de confiance » qu’une promesse électorale. Tous les détails techniques au fil de l’article rédigé par Paul Mutton, de l’équipe Netcraft.
Plus les mécanismes de protection se complexifient, plus les attaques sont alambiquées, plus l’usager est perdu dans un tourbillon de prérequis techniques, de conseils abstrus, de pratiques lourdes et pas toujours efficaces.
