Facebook et vous | Slappyto

Statistiques

1124 vues

11 Messages

Créé le 23/01/2009

Slappytoscope du topic

Filtres & Tris Catégorie (Tout) ▼
- Tous
- Mieux notés

Plus ▼

Participants Tout le monde
Tout le monde ++ Chips Claypool-Fish! Fleadh KeupoN Smelcc
Flux RSS
RSS

News
Dossiers
Tabs
Cours
Tests

Dernières News

Derniers Dossiers

Dernières Tablatures

Derniers Cours

Derniers Tests

•23/01/2009 00:17:05

J'ai lu les premiers posts du sujet "Slappyto sur Facebook" et il y avait un hésitant, sam, qui ne voyait pas l'interêt de s'inscrire. Le lien ci-dessous lui donnera une réponse.

Je serais bref. L'article du tigre (voir ci-dessous) interessera forcément tous ceux et toutes celles qui aiment publier photos, vidéos, infos pour les partager avec leurs amis et leur famille. Sauf ceux dotés d'une cervelle de moineau, mais il n'y en a pas ici, non ?

. Bonne lecture.

Bon anniversaire Marc. ...

KeupoN

•23/01/2009 00:44:18

Pour précision, le social engineering via google était un exercice d une de mes formations en sécu informatique (Sans Gsec). J ai fait une recherche sur une connaissance et j'ai appris:
-Prénom, profession, adresse, hobby du pere
-Meme chose pour la mere
-Prénom, parcours scolaire, nom du boyfriend, adresse actuelle de la soeur

Le tout en 5mn.

A quoi ca sert ? Si vous recevez un mail avec une adresse hotmail avec le nom de votre frere, soeur, mère, vous cliquez sur le lien qui permet d ajouter l adresse automatiquement dans le carnet d adresse outlook ? La plupart des gens le font et le lien peut faire bien d autres choses que d ajouter l adresse (malware, phishing...). Etant donné les papiers que j ai du signer en démarrant dans ma boite actuelle, je soutiendrai avec obstination que jamais je n'ai volé login/password de boite gmail d une personne avec cette méthode pour voir si je pouvais y arriver.

Alors fesse de bouc c est tres pratique mais il vaut mieux en mesurer lels conséquences.

Fleadh

•23/01/2009 01:16:29

...Faut arrêter la psychose quand même...

KeupoN

•23/01/2009 01:31:26

Ce n est pas une question de psychose. Meme si, en bossant pour une boite spécialisée dans la sécu informatique je suis plus sensible au probleme (de meme que ceux qui bossent en hosto sont, en général, des maniaques de l hygiene), certains chiffres surprennent: Savoir que le business lié aux malwares rapporte plus que celui de la drogue (en volant le numero de carte bleue de monsieur tout le monde) me choque un peu. Apres, c est pas le quidam moyen qui sera la cible de ce genre de social engineering, ce n est pas rentable, mais autant savoir que ca existe, autant savoir que tout employé possédant un copmpte info dans une boite peut etre la porte d entree pour un hacker (un truc a pperdre son boulot), que monsieur tout le monde peut etre trainé en justice parceque son compte a été utilisé pour une attaque apres avoir été hacké ou plus simplement qu un mec un peu dégourdi peut surveiller les mails d une personne mal informée.

C est comme sur la route, c est pas parceque certains conduisent des dizaines d années sans accident qu il ne faut pas signaler les risques.

Chips

•23/01/2009 01:31:42

Disons, sans tomber dans la psychose, on peut facilement limiter la casse

De mon côté, nom, prénom, profession, cursus pro, adresse et téléphone pro et même 2-3 photos circulent sur le Web.
Mais rien de ma vie personnelle (à part les prénoms de ma femme et de mes enfants, mais pas leur nom de famille, d'ailleurs différent du mien

), que ce soit sur Facebook ou ailleurs.
Et puis, si je juge qu'un site n'a pas à me demander des infos que j'estime sans rapport avec ledit site (pourquoi un forum me demanderait mon n° de tél, par exemple ?), j'ai une fiche bidon (nom, prénom, coordonnées, email, etc...) toute prête que je leur file à loisir. Seul l'email est 'vrai", mais ne me sert que pour ça (principe de l'email poubelle), ça évite de faire augmenter ma moyenne de 150 spams/jour (heureusement détournés, pour la quasi-totalité, par Spamihilator

).

Quant à leurs photos, elles sont bien au chaud dans un petit coin du Web, bien protégées... et pas facilement accessibles pour qui ne connaît ni l'adresse, ni les login/password.

Smelcc

•23/01/2009 01:32:33

+1 Fleadh, surtout qu'à part le numéro de téléphone, y'a pas grand chose de transcendant...
"Ouais, je sais où t'es parti en vacances!"
Trop cool... et?

KeupoN

•23/01/2009 01:36:33

Smelcc

+1 Fleadh, surtout qu'à part le numéro de téléphone, y'a pas grand chose de transcendant...
"Ouais, je sais où t'es parti en vacances!"
Trop cool... et?

c est un premier moyen de contact, de te mettre en confiance... Crois moi, il est extremement simple d obtenir bien plus d infos à partir du moment ou on accroche la personne sur un point qui la met en confiance (pas le droit de faire la démo mais c est impressionnant)

KeupoN

•23/01/2009 01:43:03

Petit détail "amusant", quand j etais tech sur site, il m arrivait souvent d avoir besoin de déverrouiller un PC (verrouillé avec le compte de l utilisateur). Il m est arrivé plusieurs fois de trouver le password de l utilisateur en regardant les photos sur le bureau (elle s appelle comment la meuf sur la photo ? Cette photo a été prise où ?...) en demandant des précisions à ses collègues (facebook permet parfois la meme chose). Apres, c est vrai que je pouvais me permettre de me gourer vu que je pouvais resetter un password si c etait indispensable mais poppyto, par exemple, peut avoir accès à tous nos passwords sur le site et je suis pret à parier qu il y en a beaucoup qui utilisent le meme password ici et au taf.

Smelcc

•23/01/2009 01:44:23

Tu parles bien de moyens légaux là, ou de hack?

Car un hacker, oui, à partir du moment où tu es connecté, j'imagine qu'il peut trouver aisément ton adresse via le proxy, et s'ensuit un bon nombre d'infos.

Mais après, pour une personne lambda, sauf si tu es un gros boulet et que tu mets ton N° de carte de crédit là où il ne faut pas, ça devrait pas être dangereux non plus...

Claypool-Fish!

•23/01/2009 06:38:14

Non, mais en dehors des dangers de hack etc, le vrai problème c'est son interet:

J'ai tenté un truc, j'ai supprimé tout mes amis, qui deja n'en étaient pas des vrais. Et bah j'ai plus accès a rien, je vais plus sur le site. Donc ce site est réservé aux egns qui ont des amis, tout tourne autour de la découverte de nouveaux "amis" avec qui n'échangent que des données stupides en recentrant tes interets via les groupes... Bref, ce que tu fais sur Facebook, pourquoi ne pas le faire dans la réalité ?

En plus, le côté socialisation,pour moi, est insuportable. C'est d'un con, rencontrer plein de gens, avoir son clan en somme, élargir ton réseau a tout prix, pour faire on ne sait quoi ...

Facebook invention du diable

KeupoN

•23/01/2009 07:41:53

Smelcc

Moyens légaux ?

C est illégal de recouper des infos mais bon, va poursuivre quelqu un pour ca. Quant aux dangers autres, je peux parler des boites de recrutement qui (illégalement) font des recherches via cette méthode sur les candidats interressants (de ce coté là facebook protege plutot bien la vie privée meme si l article cité plus haut montre que ce n est pas suffisant).

PS : Pour le hacker, le social engineering fait 80% du boulot, quelque soit le type d attaque : soit des mails ciblés pour tout ce qui est phishing et net bots, soit des enquetes poussées lorsqu il s agit d attaques ciblées contre un réseau ou une entreprise en particulier. Bref, toute info rendue publique peut faciliter le taf du hacker

Envie de répondre ? Inscrivez-vous - Connectez-vous ou
Facebook connect

Connectez-vous avec Facebook