L’an dernier, les nouvelles de l’actualité concernant les piratages de célébrités semblaient être partout après le Celebgate, nom donné par les médias à l’attaque qui, selon Celebuzz, a compromis jusqu’à 600 comptes iCloud de personnalités influentes. Il s’agissait notamment de photos personnelles compromettantes des célébrités piratées, qui se sont par la suite retrouvées sur le site à scandale 4chan et qui ont rapidement envahi la toile.
Cette année, le réseau social de grande notoriété ciblé par les pirates a été Ashley Madison, le site de rencontre qui se présentait comme le site spécialisé dans les relations extraconjugales. La liste de ses adhérents a été dérobée et publiée sur Internet, et les médias se sont immédiatement rués dessus pour découvrir quelles célébrités figuraient parmi les clients du site. Mais le piratage d’Ashley Madison n’a pas concerné que les célébrités. Les entreprises de toute l’Amérique craignent que les employés qui s’y étaient inscrits puissent être vulnérables au phishing ciblé ou à d’autres formes de cyberchantage.
Pénétrer dans la vie privée des individus
Il s’avère que la fatalité de ces piratages de célébrités n’est pas un problème réservé aux personnalités connues. À l’ère d’Internet, tout le monde peut devenir connu (et de la manière la plus désagréable) si des images ou d’autres contenus strictement privés sont piratés et publiés sur Internet. Ces incidents sont porteurs d’importantes leçons en matière de cybersécurité pour tout un chacun.
La plupart des détails techniques du piratage Celebgate n’ont pas encore été révélés au public (et ce, pour une bonne raison, étant donné qu’ils pourraient servir de feuille de route à de futurs pirates informatiques). Il importe de signaler que les images et les autres données stockées sur les iPhones sont automatiquement copiées sur iCloud, le service de stockage dans le Cloud d’Apple. Android et les autres systèmes d’exploitation mobiles enregistrent également des copies sur un service Cloud pour une très bonne raison : afin que les utilisateurs puissent y accéder depuis l’ensemble de leurs appareils. Mais cela représente une nouvelle vulnérabilité que les utilisateurs mobiles devraient connaître.
Il a peut-être suffi de deviner les mots de passe des célébrités dans le cadre de ce piratage (Apple, qui jouit d’une réputation plutôt bonne en matière de sécurité, a par la suite renforcé ses mesures de protection en cas de mot de passe oublié), ou d’utiliser l’ingénierie sociale (qui consiste à inciter quelqu’un à révéler son mot de passe).
Les célébrités ne sont pas les seules victimes potentielles
En revanche, le piratage du site Ashley Madison semble similaire, d’un point de vue technique, aux piratages des boutiques en ligne. Mais les conséquences de ce piratage ne furent pas les mêmes, et elles se sont propagées bien au-delà du site Ashley Madison en lui-même. Le piratage de boutiques en ligne a généralement pour objectif de dérober les informations relatives aux cartes de crédit, qui valent de l’or pour les cybercriminels. En revanche, les pirates du site Ashley Madison visaient directement à embarrasser les gens, raison pour laquelle ils ont publié sur Internet l’adresse électronique de millions de clients du site.
Bien que la liste des membres contienne les adresses électroniques de nombreuses célébrités, Ashley Madison n’a ni vérifié ni confirmé ces adresses, et peu d’entre elles (voire aucune) semblaient réelles. Pour le moment, Josh Duggar (de l’émission de téléréalité 19 Kids and Counting) est la personnalité la plus importante ayant admis avoir été impliquée dans le scandale, mais il n’est certainement pas la seule personne à en avoir ressenti les conséquences. En revanche, comme l’a indiqué Infoworld, le fait que peu de célébrités aient confirmé avoir été victimes de pirates informatiques n’a pas empêché cette affaire de devenir un problème sérieux ; pas uniquement pour les personnes dont les vraies adresses électroniques se trouvent sur la liste, mais également pour les entreprises dont les employés étaient inscrits sur le site, et qui pouvaient désormais être vulnérables à l’ingénierie sociale et au cyberchantage.
Ingénierie sociale et vulnérabilité humaine
Le terme « ingénierie sociale » est employé par les experts en cybersécurité pour désigner les attaques qui visent le facteur humain. Le phishing ciblé en constitue un exemple encore trop courant, lorsqu’un cybercriminel envoie un e-mail (provenant soi-disant d’un ami ou d’un collègue) qui contient un fichier ou un lien vers un site Internet malveillant. La victime peu méfiante clique sur le lien, permettant ainsi au programme malveillant d’infecter son appareil pour y traquer les données privées.
Du côté des entreprises, ces dernières craignent que les employés dont les adresses électroniques figuraient sur la liste d’Ashley Madison soient désormais plus vulnérables au phishing ciblé provenant soi-disant d’avocats ou de détectives privés. Dans ce scénario, les pirates n’ont pas à s’embêter à ajouter de touche personnelle ou amicale pour piéger leurs victimes. Le désir de protection et la peur de la victime d’être exposée peuvent suffire à la faire cliquer sur un lien, permettant ainsi aux pirates de s’infiltrer et de rechercher les mots de passe ou d’autres données qui pourront par la suite être exploités.
À l’ère de la mobilité, tout appareil pouvant se connecter à Internet est potentiellement piratable, d’où l’extrême importance d’utiliser des mots de passe complexes.
Tweet : À l’ère de la mobilité, tout appareil pouvant se connecter à Internet est potentiellement piratable, d’où l’extrême importance d’utiliser des mots de passe complexes.
Tweetez ça !
Soyez conscients des techniques d’ingénierie sociale et réfléchissez-y à deux fois avant de cliquer sur des liens inhabituels ou inattendus dans les e-mails. Les personnes riches et célèbres ne sont pas les seules cibles dans la nouvelle ère des piratages de célébrités.
Autres articles et liens utiles en rapport avec les cybermenaces mobiles