Aujourd’hui, d’après un article du Figaro.fr, nous apprenons qu’une mystérieuse jeune femme, Robin Sage, a eu accès à de nombreuses données confidentielles.
Comment ? De la même manière qu’Hacker-Croll avec Twitter : en ayant accès aux profils Facebook/Twitter/LinkedIn d’experts en sécurité, de militaires, et d’employés assez bien placés. Puis en décortiquant les informations, elle a eu accès a des données qu’elle n’aurait jamais dû voir.
Je vous propose de passer en revue les multiples pièges dans lesquels ces hommes importants sont tombés. En quelque sorte, ce fut une petite démonstration de social engineering. Ah, l’interface chaise-clavier…
1) Croire que Robin Sage était une femme.
Première erreur, sévère mais excusable. En effet, Robin Sage est un étudiant du MIT qui, en réalité, s’appelle Thomas Ryan. Ce n’est pas l’erreur la plus grave a avoir été commise, mais en tenant compte de la phallocratie encore très présente dans le monde du travail, le choix d’incarner une femme s’imposait naturellement. Bien évidemment, un inconnu mâle accepte plus facilement l’invitation d’une jolie jeune femme que celle d’un homme…
2) Croire au parcours professionnel de Robin Sage.
Seconde erreur, plus difficilement excusable. Facebook ne dit pas que la vérité et rien que la vérité, car Facebook n’a pas de main droite…
N’importe qui peut dire avoir fait Harvard, Yale, MIT Polytech’, Todai, l’Assomption…et se fier aveuglement à ce qui est écrit peut coûter cher. C’est le cas ici.
3) Ne pas avoir fait de groupes sur Facebook ?
Une hypothèse, oui, mais une hypothèse probable. Si « Robin Sage » a eu accès à des données personnelles ayant compromis la sécurité d’autres comptes (e-mails, bancaires), c’est certainement parce que tous les « amis » disposaient d’un accès complet à toutes les informations. Grossière erreur !
L’élément le plus important de l’affaire est précisément celui-ci : les contacts Facebook doivent être rangés par groupes. Et certains éléments du profil ne doivent pas être accessibles à des inconnus. Les paramètres de confidentialité sont suffisamment étoffés pour pouvoir « sécuriser » proprement son compte.
4) Les questions secrètes.
Le second maillon faible. Pour des experts en sécurité, voilà qui n’est pas excusable non plus. Un mot de passe ne doit pas être oublié. La question secrète ne doit pas avoir à être utilisée. Pour Thomas Ryan, la tâche ne devait pas être très compliquée : si la question portait sur le plat préféré de M.X et que celui-ci était « fan » de raclette sur Facebook…
Si, lors de l’ouverture d’un compte mail, la question secrète est obligatoire : répondez-y en mettant de mutilples caractères sans aucun sens. C’est primordial, autant qu’un bon mot de passe. (si ce n’est plus !)
Conclusion
Experts en sécurité, militaires, employés, ou simples utilisateurs, parfois il n’y a aucune différence. Les leçons à retenir de cette affaire :
- Si vous acceptez un inconnu sur Facebook, placez-le dans un groupe qui n’aura pas accès à des données « sensibles ». (telle que votre adresse email par exemple)
- Répondez à vos questions secrètes par une suite de caractères sans aucun sens.
- Utilisez des mots de passe robustes ! (des dates de naissance en guise de mot de passe, j’en ai vu passer…)
- Attention à vos publications. (si vous êtes militaire, ne dévoilez pas vos prochaines opérations…)
Bref, soyez prudents ! 
