Une hackeuse révèle ce que vous devriez arrêter de faire en ligne


Stephanie Carruthers est une hackeuse “white hat” (chapeau blanc) connue sous le nom de Snow dont les clients comprennent à la fois des entreprises du Fortune 100 et des startups. En 2014, elle a remporté le concours Social Engineering Capture the Flag à DEF CON, l’une des plus anciennes et des plus importantes conventions sur le piratage au monde. Elle fait souvent des présentations lors de congrès de piratage et partage son expertise avec des entreprises dans l’espoir de renforcer leur sécurité en ligne.

Nous avons interrogé Snow sur Twitter au sujet du travail qu’elle fait et des conseils qu’elle a pour assurer la sécurité des gens en ligne.

“Je ne pense pas que je me sentirai un jour en sécurité en ligne.”

Qu’est-ce qu’un hacker chapeau blanc ?

Un hacker chapeau blanc est un hacker éthique. Plus précisément, je suis un ingénieur social, qui est un pirate informatique. L’une des façons les plus simples d’expliquer ce que je fais est de dire : “Je mens et je m’introduis dans les bâtiments.” J’effectue différents types d’évaluations, comme les campagnes d’hameçonnage et les évaluations de sécurité physique. Mon travail est effectué dans le but de pouvoir montrer à mes clients où se trouvent leurs vulnérabilités afin qu’ils puissent les corriger avant qu’un véritable attaquant ne les trouve.

Comment en êtes-vous arrivé là ?

L’ingénierie sociale est devenue une passion alors que je participais à la compétition Social Engineering Capture the Flag au DEF CON, et j’ai eu la chance d’être capable de grandir dans cette carrière.

Dans quelle mesure vous sentez-vous personnellement en sécurité en ligne ?

Je ne dirais jamais que je ne suis pas piratable. Les atteintes à la protection des données se produisent à un rythme constant, c’est comme une norme, et pour cette raison, je ne pense pas que je me sentirai un jour en sécurité en ligne. Par conséquent, je prends des précautions pour me protéger autant que possible.

Quelles sont certaines des choses stupides que vous avez vu en ligne ?

J’essaie de ne pas étiqueter les choses comme étant stupides, mais sans éducation. J’espère que si quelqu’un comprenait vraiment le risque du contenu qu’il met en ligne, il reconsidérerait l’affichage.

Cela dit, certaines des choses que j’ai vues en ligne où la personne ne comprend pas le risque sont :

  • Nouveaux conducteurs : Des adolescents excités (ou même des parents) qui prennent fièrement une photo [de leur nouveau permis] qui contient tous leurs renseignements personnels, y compris l’adresse de leur domicile.
  • Nouveaux propriétaires : Les propriétaires prenant une photo festive de leur nouvelle clé de maison et géolocalisant leur nouvelle maison sans se rendre compte qu’il est [facile] de dupliquer une clé physique à partir d’une photo.
  • Employés : Les employés se prennent souvent au mépris total de ce qui se trouve au premier plan ou en arrière-plan de l’image, y compris les mots de passe et les informations sensibles sur les tableaux blancs, les écrans d’ordinateur, les mots de passe des messages vocaux enregistrés sur leurs téléphones, etc. De plus, pour une raison folle, les employés affichent des photos de choses comme leur chèque de paie. Alors que certaines personnes peuvent ne rien voir de mal avec ces types de messages, les attaquants peuvent utiliser ces types d’images à leur avantage.

Qu’est-ce que les gens ne devraient jamais faire sur les médias sociaux ?

Poster sans réfléchir. Avant de poster quelque chose, posez-vous ces questions : Quelles sont les informations que je mets en ligne ? Qu’y a-t-il dans l’arrière-plan de mon image ? Si je voulais me venger de moi-même – comment utiliserai-je cette information contre moi ?

Selon vous, quel site de médias sociaux expose le plus notre vulnérabilité ?

Je pense que Facebook expose le plus d’informations – principalement parce que Facebook met en corrélation une énorme quantité de données, telles que vos amis, collègues, votre famille, votre travail, vos passe-temps, vos enfants, etc. De nombreuses réponses aux questions de sécurité [utilisées pour les transactions bancaires et la réinitialisation des mots de passe] peuvent être trouvées simplement en regardant le compte Facebook de quelqu’un.

De plus, Facebook ne fait pas un excellent travail pour protéger votre vie privée – les médias sociaux ne fonctionnent pas bien quand tout le monde se restreint. Pour de nombreux utilisateurs, essayer d’ajouter des paramètres de confidentialité qu’ils devraient avoir n’est pas intuitif – c’est-à-dire s’ils l’envisagent.

“Mentir lorsque vous répondez à des questions de sécurité courantes.”

La technologie de reconnaissance faciale empêcherait-elle les faux profils d’être créés par des escrocs ?

La technologie de reconnaissance faciale peut aider à réduire certains comptes d’escroquerie, mais elle n’y mettra pas fin. Les hackers sont des gens très rusés et aiment trouver des moyens de surmonter ce type d’obstacles. C’est un jeu du chat et de la souris. D’autre part, pour donner plus de pouvoir à Facebook, nous devrions fournir plus de renseignements personnels. J’ai connu beaucoup de gens qui attachent une telle importance à leur vie privée qu’ils utilisent de faux noms et une photo non humaine sur les médias sociaux. Afin d’empêcher la création d’un faux profil, ils devraient fournir leur nom et leur visage sur Facebook. C’est un peu comme l’idée de Facebook sur la façon de combattre le revenge porn en demandant vos photos de nu. S’ils en ont, cela facilite la recherche et la destruction du point de vue de l’automatisation. Cependant, nous en revenons à la question de la confiance, qui est le moindre de deux maux.

Mots de passe et questions de sécurité : Pourquoi y a-t-il tant de violations ?

Les violations de données peuvent survenir pour plusieurs raisons, comme les attaques d’ingénierie sociale, les vulnérabilités des applications, les serveurs non patchés, l’absence de contrôles de sécurité physique, la faiblesse ou le vol des justificatifs d’identité, etc. Si ces vulnérabilités existent constamment, les atteintes à la protection des données ne feront que se poursuivre.

Quelque chose qui est bénéfique pour tout le monde est d’adopter de bonnes habitudes en matière de mots de passe. Les mots de passe sont un mélange de responsabilité individuelle et de responsabilité d’entreprise. Voici quelques mesures que vous pouvez prendre pour vous protéger :

1. Arrêtez la réutilisation des mots de passe, changez souvent vos mots de passe et utilisez un gestionnaire de mots de passe. Vous devriez avoir un mot de passe fort et unique pour n’importe où vous avez un nom d’utilisateur.

2. Mentir lorsque vous répondez à des questions de sécurité courantes. Vous n’avez pas à remplir correctement le nom de jeune fille de votre mère. Utilisez quelque chose qui ne peut pas être facilement deviné pour la question, comme “Nutella” ou “Disneyland”.

3. Utiliser l’authentification à deux facteurs. La plupart des sites ont une option où vous pouvez configurer ce paramètre de sécurité supplémentaire.

Qui sont tous ces arnaqueurs / hackers qui veulent nos informations ?

Les escrocs sont des attaquants d’opportunité. Comme toute autre activité illégale, ils gravitent vers des situations où la récompense l’emporte sur le risque. Dans la plupart des endroits, c’est parce que les lois locales ne comportent pas beaucoup de risques contre l’activité. Peu importe qui ou où se trouve l’attaquant à la fin de la journée, c’est le fait qu’il y a de l’information qu’il veut, et qu’il a les moyens et la capacité de l’obtenir – à condition que cela en vaille la peine. Dans de nombreux cas, ils ont un succès fou parce que, dans beaucoup de ces magasins, c’est un jeu de chiffres. Ils ont un centre d’appels rempli d’escrocs qui ressemble beaucoup à des campagnes de télémarketing. Ils ont des scripts de génération de prospects, des scripts de dialogue, des processus internes, de la formation et même des quotas.

Quelle est la chose la plus importante à garder à l’esprit pour les utilisateurs occasionnels d’Internet ?

Juste se rappeler que ces problèmes de sécurité ne disparaîtront pas de sitôt. De plus, vous ne pouvez pas devenir la personne la plus sûre au monde. Cependant, vous pouvez vous rendre plus en sécurité que les autres – et par conséquent, nous espérons que les attaquants abandonnent et passent à quelqu’un d’autre. Comme le dit le dicton : “Il n’est pas nécessaire de courir plus vite que l’ours pour s’enfuir. Tu dois juste courir plus vite que le gars à côté de toi.”

Source : Huffington Post – Image d’en-tête : Stephanie Carruthers – Traduit par Anguille sous roche


Vous aimerez aussi...

1 réponse

  1. Ichiman dit :

    J’ai aussi vu qu’il ne fallait pas montrer ses empreintes digitales, qu’un bon hacker peut voler.

    Idem pour la carte bancaire.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *