Aujourd'hui, une idée m'est venue (hé oui !?). Toute bête en soi mais tout de même, elle amène la réflexion. Pour aller droit au but, je ne sais pas si vous avez remarqué, mais vous êtes pistés ! Attention cher agent, notre agence déniera tout lien avec les services secrets en cas de problème !
Au départ, un effet de mode ...
Vous avez certainement fait l'objet d'une invitation de site de "rassemblement". Pis, vous vous y êtes incrits vous-mêmes ! ;) Que ce soit professionnel avec des sites comme linkedin ou personnel comme facebook, l'homme aime faire partie d'un groupe et se fait entourer de ses collègues ou ses amis. Que ce soit pour des opportunités de travail ou tout simplement pour ne pas perdre contact avec des collègues ou amis, le profil de chacun est inscrit quelque part sur le net. Bref, un simple effet de mode !
... Sauf que ...
Sauf qu'à force d'être inscrit partout, il devient de plus en plus facile de recouper les informations ! et là, "c'est le drame !" En effet, maintenant, si vous avez le "malheur" de poser un question sur un forum, de poster un article dans un blog ou dans un newsgroup, nous remarquons une chose : le WEB évolue, prend de l'ampleur - avec des moyens d'expression comme le blog - et nous y la faisons de moins en moins attention à ce que nous laissons comme traces et informations. A la base, les informations ne sont pas forcément pertinentes. Sauf que, à force de multiplier les sources, le recoupement se fait de plus en plus facilement. En effet, cette méthode de recherche d'information est connue de tout pentester et de tout curieux, mais ce que nous notons, c'est que c'est de plus en plus valable avec le temps ...
Si certaines personnes vont penser à faire attention à ne pas divulguer de renseignements sensibles dans un post, vont-elles penser dans le même temps qu'elles ont dit il y a quelques mois avoir qu'elle travaille pour telle ou telle société ? Déjà, vous commencez à comprendre ...
L'illustration par l'exemple
EXEMPLE 1:
Par exemple, imaginez une personne qui écrit dans un forum pour signaler, en tant qu'administrateur système, qu'il ne connaît pas les moyens pour sécuriser son serveur DNS (problème de transfert de zone). Si la personne n'a pas déjà donné son nom, il pourra certainement être retrouvé dans son profil (quitte à s'incrire avec un compte bidon sur ce même site). Au pire, quelques recherches Google feront le lien entre le pseudo et le nom. Ensuite, le nom en poche, il suffit de se rendre sur un site comme linkedin et là, vous retrouverez le profil professionnel de la personne cette fois. Bingo, vous savez où elle travaille, dans la société CompagnieSecrete.
(Par exemple, allez faire un tour dans la partie "Experience" de linkedin d'une personne).
Quoi, l'administateur a dit avoir rencontré des problèmes de transfert de zones sur son serveur DNS ? Mais mes mains s'agitent déjà, elles tapent des DIG NS CompagnieSecrete.com ?!? Oh non, maintenant, elles se mettent à écrire des host -l !!!
Oups, je crois que l'on ne retrouvera jamais le corps de cette personne.Et vous, cher agent lecteur, on ne peut rien apprendre de vous ? Rien de compromettant ? Sûr ???
EXEMPLE 2:
Même pas peur ? Alors je vois que vous avez de l'entraînement mais là, nous allons voir vos limites. Par exemple, a tout hasard, prenons le profil de ... Jérôme KERVIEL (non non, nous n'en avons pas assez parlé ;). Savez-vous que son profil est disponible sur le site linkedin ? Maintenant, savez-vous que nous pouvons y retrouver ses contacts ??? Hé bien j'espère ne pas vous y retrouver ! Vous pourriez être dans de sals draps ! Mais ??? c'est qu'il EST dans mes contacts !
Finalement, le recoupement d'information n'est même pas obligatoire. Ces sites "à la mode" nous donnent déjà du fil à retordre à eux seuls.
Aucun commentaire:
Enregistrer un commentaire