Les dangers du Web 2.0
jeu, 12/04/2007 - 18:06
Les internautes se familiarisent peu à peu avec le Web 2.0 grâce à des sites comme Myspace dont le contenu et la croissance sont pilotés par les utilisateurs. Mais ce contexte présente de nouveaux risques. Ils viennent en partie de la nature informelle du Web 2.0, bâti sur une confiance mutuelle qui fait que les utilisateurs ne s’inquiètent pas autant des problèmes de sécurité que pour des applications Internet plus courantes comme l’e-mail.
Le Web 2.0 s’accompagne de deux types de risques. Le premier vient de l’usage de la messagerie instantanée (IM), des salles de discussion et des blogs. L’aspect très conversationnel de leur usage fait oublier les très nombreuses possibilités d’interception d’informations sensibles, par exemple des mots de passe. Dans un monde totalement virtuel, comment savoir à qui faire confiance ? Comment savoir qu’un interlocuteur est réellement ce qu’il prétend ? L’IM est très souvent utilisé pour les contacts sociaux, mais de nombreuses entreprises l’intègrent dans leurs outils de communication, au risque d’être aisément espionnés. En outre, les pirates et les marketeurs peuvent passer au crible les sites d’informatique sociale et se constituer de vastes bases de données. Il suffit par exemple d’étudier le profil des utilisateurs, où l’on trouve souvent les hobbies, animaux de compagnie, équipes ou chanteurs favoris… bien souvent utilisés comme mot de passe. Les gens n’hésitent pas à indiquer leurs revenus (ce qui pourrait attirer les inspecteurs des impôts !), donnant aux pirates le moyen de repérer les cibles rentables. Ces informations de base suffisent souvent aux pirates pour s’approprier l’identité de leur victime. C’est le nouveau visage du piratage : plus besoin de faire les poubelles pour trouver des informations confidentielles, il suffit d’étudier les profils en ligne, accessibles à tous.
Le deuxième risque vient du spyware, particulièrement à son aise sur les réseaux d’informatique sociale (comme Myspace). Ces sites peuvent assez aisément devenir d’excellents vecteurs pour injecter le spyware et autres menaces, un peu comme avec les vers d’e-mail. Le spam vient s’ajouter à ce problème, les panneaux de discussion, les blogs et les Services Web gratuits étant les principales sources de ce fléau. Le spam qui parasite les blogs et autres discussions vise essentiellement à attirer les internautes vers d’autres sites, dont certains sont des Services Web gratuits, d’autres étant des pages maquillées pour mimer des sites réputés. C’est une évolution inquiétante de cette méthode, qui est en général associée au phishing.
Le fait de collecter des informations publiques n’est pas forcément mauvais en soi, même si la question reste ouverte, mais les experts de McAfee soutiennent que le caractère accessible de ces services conduit à des usages non prévus par leur utilisateur.
Cas concret: Un spammeur a récemment posté sur Wikipedia une page contenant un lien vers un site hébergeant le cheval de Troie nordex. L’attaque était complétée par un e-mail qui semblait venir de Wikipedia, et informait les gens de l’existence de cette nouvelle page.
L’association du Web et d’un e-mail de spam est une méthode bien plus efficace pour propager le spam, et les experts de McAfee s’attendent à un renforcement de la corrélation entre les campagnes Web et e-mail.