Commentez les articles de Rue89 en vidéo avec votre webcam.
Grâce à Facebook, devenez l'Al Capone du web 2.0
Par Nicolas Kayser-Bril | Window on the media | 29/08/2007 | 12H00
Le grand banditisme version 2.0, c’est facile! Avec une mise de fonds initiale ridicule et ces quelques conseils, vous pourrez devenir le "Al C4p0ne" du réseau sans quitter votre fauteuil.
Rachetez une start-up en faillite
La première marche sur votre chemin de Don Corleone du web passe par un petit investissement. Plus cher qu’un calibre, mais moins qu’un kilo de coke, vous allez devenir chef d’entreprise pour quelques milliers d’euros, en rachetant une start-up ratée. Vous en trouverez facilement sur e-Bay ou sur un site spécialisé comme la "dead pool" de TechCrunch. (Merci à Seamus pour l’idée).
Moissonner les données personnelles
Pas question pour vous d’essayer de relancer la start-up -vous êtes bien au-dessus de ça. Au contraire, vous allez désosser votre entreprise jusqu’à trouver cette pépite: la base de données contenant les adresses e-mails et les mots de passe des anciens bêta-testeurs ou clients.
Infiltrer Facebook
Armé de quelques milliers d’adresses e-mail, rendez-vous maintenant sur le réseau social Facebook. Disons que si 10% des internautes utilisent le même mot de passe pour tous les sites qu’ils utilisent, ça vous donnera accès à une centaine de comptes. Mieux, vous pouvez créer vous-même de faux profils. Pas la peine d’essayer MySpace, les utilisateurs de Facebook sont bien plus solvables.
Mystifier la banque
Vous avez désormais accès aux détails des comptes infiltrés et à ceux de leurs amis. Parmi ceux-ci, vous pouvez espérer trouver plusieurs dizaines de bonnes poires qui affichent leur date et lieu de naissance, leur adresse, leur parcours universitaire et le nom de leur chat.
Prenez note de tous ces détails, soigneusement. Il n’y a plus qu’a appeler leur banque. Certains disposeront forcément d’un compte dans les trois ou quatre plus grosses banques du marché visé. Vous pourrez alors, en vous faisant passer pour votre victime, faire refaire leur carte bleue. La banque ne demandera pas d’autres informations que celles que vous avez trouvé sur Facebook, comme le souligne Technaute. N’oubliez pas non-plus de vider leurs comptes sur PayPal, la banque en ligne d’eBay.
Récolter le cash
Voilà! En trois jours et pour 10 000 euros, vous disposez maintenant de quelques dizaines de cartes bleues toutes neuves. En les exploitant habilement vous devriez en tirer plusieurs centaines de milliers d’euros. Ni la prostitution, ni la drogue n’offrent des rentabilités de cette magnitude aussi rapidement avec un risque aussi faible.
Moralité
Non, Internet n’est pas le paradis des mafieux et la probabilité de se faire détrousser en utilisant Facebook reste extrêmement faible. Vous diminuerez néanmoins le risque en utilisant l’un des gestionnaire de mot de passe recommandés chez Francis Pisani et en vérifiant régulièrement le niveau de vos comptes.
Du côté de Facebook, la politique de l’autruche prévaut. Contacté par des médias suédois s’étant emparés de telles affaires, la firme s’est refusée à tout commentaire (via Media Culpa).
- 12011 visites
En notant les commentaires pour leur pertinence, vous en facilitez la lecture. Les moins bien notés se replient d'eux-même mais peuvent s'ouvrir d'un clic. Pour pouvoir commenter et noter, merci de vous inscrire. Les commentaires sont fermés après sept jours. Pour en savoir plus, lire la charte des commentaires.
Puisque on parle d'infilter des infos sur Internet, j'aurais qqs précisions à demander :
un article est paru dan Rue89 au sujet de Spock, un moteur de recherche censé collecter sur la toile des informations personnelles. Je ne suis pas un spécialiste mais je crois que les moteurs de recherches effectuent leur collecte de données en scrutant les pages HTML; or lorsque je m'inscris sur un site en remplissant par exemple un formulaire, ces informations sont stockées dans des bases de données et non pas en ligne sur des pages web.
Cela signifierait que Spock n'est capable de collecter des données que sur des sites qui "parlent de moi". Ce qui pour des millions d'internautes ne risque pas d'arriver très souvent.
Ai-je tout compris de travers ou ne nous a-t-on pas fait peur un peu vite en brandissant l'image du Big Brother ??
Je suis pas spécialiste non plus, mais il me semble impossible d'accéder légalement aux données d'une database si elles ne sont pas expressément publiées (ie rien à craindre pour les formulaires).
Effectivement, Spock ne fait qu'indexer des pages web. La différence avec Google, c'est que ses algorithmes sont optimisés pour la recherche de personnes.
Tout à fait, un moteur n'a accès qu'à ce qui est publique. En l'occurrence, j'imagine que Spock scrute les pages "profil" des sites communautaires, des forums, les pages "A propos" des auteurs, des journalistes, les sites comme wikipedia sont également une aubaine pour amasser des infos sur des personnes connues. Pour trouver des photos, il utilise simplement un moteur de recherche d'image comme celui de google image ( http://images.google.fr/imghp?ie=UTF-8&oe=UTF-8&hl=fr&tab=wi&q= ). Tapez votre nom, et il y a de fortes chances qu'une photo de vous apparaisse. Surtout si vous êtes sur un trombinoscope d'anciens élèves ou de sites de réseaux sociaux.
Une parade est d'utiliser un pseudo différent sur chaque site et d'y associer des informations personnelles différentes également, car il est possible de croiser des informations et de retrouver le nom d'un individus à partir de sa ville, de sa date de naissance, etc. Mais bon, faut pas non plus tomber paranoïaque :)
Celà montre votre niveau d'inteligence....
Il ne s'agit pas de hacker la base de données par internet, mais de recuperer les données de la database par l'achat de la start up (en faillite) qui à créer cette database.
En rachettant la start up à bas coûts, celà donne les droits sur la base de donnée cliente qu'aura rempli tous ceux qui auront laisser des informations sur le site précedement avant et pendant l'acaht de la start up. Notament le mdp. Puisqu'il est difficile de retenir de nombreux mots de passe pour les divers site, il y à une probabilité que ce mdp soit le même que celui utiliser pour des sites communautaires qui contienent des informations plus personelle tel que l'adresse et la date de naissance qui sont les deux principales informations demandés lorsqu'on fait des opérations avec sa banque au telephone.
Il ne s'agit donc pas de big brother ou de pirates comme on l'entend.
Nous parlions du nouveau moteur Spock et non pas de l'affaire Facebook.
Au passage, un peu de courtoisie n'aurait pas été de trop.
Mettez simplement votre nom , entre guillemets, sur le chercheur de Google.... je parie que vous sortirez des centaines de fois, des milliers si vous avez fait quoi que ce soit.. Le problème est très réel.
Pierre JC Allard http://nouvellesociete.org
Un informaticien, un étudiant, un observateur des médias... qui n'ont jamais entendu parlé du scandale lié à Google il y quelques années ???
Des requêtes un peu particulière sur google permettait de pénetrer certaine base de données confidentielles (des infos très privées, adresses physiques, numéros de sécu, ce genre de chose pouvaient être extraites).
Le problème dans vos assurance come quoi c'est impossible, c'est que vous oubliez une regle fondamentale de l'informatique : les programmes ne sont pas parfaits, il y a TOUJOURS des bugs et des failles exploitables. Pourquoi? Parcequ'un BON codeur fait en moyenne 1 erreur toutes les dix lignes. Et qu'un logiciel comme MaxOS fait plusieur MILLIONS de lignes de code. Eliminez 99.9% des bugs, il en reste toujours une sacrée floppée!
Enorme, merci pour cet article qui va me faciliter la vie pour expliquer l'importance de la sauvegarde des données privées sur internet !!
Difficile de savoir... Des usurpations d'identité et des arnaques à la carte bancaire, il y en a tous les jours, mais les voleurs se ventent rarement de leurs sources et la victime peut difficilement savoir d'où venait les infos dont le voleur s'est servi.
Monster s'est récemment fait piquer 1,3 millions de profils. Ca va être intéressant de voir ce qu'en font les hackers.
C'est pourquoi, sur les sites qui doivent être bien faits, il faut stocker le mot de passe sous forme de hash. Ainsi, il est impossible à quelqu'un accédant à la base de connaître le mot de passe en clair.
L'inconvénient est le suivant: le site n'est pas capable de renvoyer le mot de passe existant à son propriétaire, en cas d'oubli. Dans ce cas, il doit en générer un nouveau pour l'envoyer au propriétaire, qui pourra alors le changer. A mon avis, c'est mieux...
la faille de sécurité est lus souvent dans l'humain que dans la système lui même :p
En effet, le cryptage des mots de passes est un atout évident en terme de sécurité et de confiance, mais ce n'est pas non plus la panacée. Il est possible, dans certaines situations, de travailler directement avec la forme cryptée des mdp, et donc de s'authentifier sans avoir à connaître la forme initiale. Cela est possible notamment sous certaines version de Windows avec le statut de simple utilisateur.
Une parade possible contre l'admin qui a accès à toutes ces infos et qui peux tester les mots de passes de ses utilisateurs sur d'autres sites, est d'utiliser un mdp différent sur chaque site. Autre conseil pour éviter de se faire "casser" rapidement son mdp : il faut, dans la mesure du possible, introduire des caractères ésotériques (lettres accentuées, chiffres, et autres @, %, $, £, µ, etc.)
Pas de Crainte, sur www.StreetReporters.net dont je suis le webmaster et que nous développons en Ruby On Rails LES MOTS DE PASSE NE SONT PAS STOCKES DANS LA BASE DE DONNEES.
Du coup, même si on nous rachète, ça sera impossible de connaître les mots de passe de nos users.
A bons développeurs, salut !
Juste par curiosité, comment fonctionne l'authentification des utilisateurs dans ce cas là ?
Je pense que la jurisprudence en la matière est encore à développer. Ce genre de délit doit se rapprocher de l'escroquerie, mais je suis pas spécialiste.
Si l'idée vous plais, je vous conseillerais de vous baser dans un pays tiers avec lequel la France n'a pas d'accord d'extradition :o)
Les banques qui se respectent (vis-à-vis de leurs client :-) ) ont plus de sécurité que ces simples vérifications...
N'importe quoi cet article ..... techniquement impossible .....
Mr de l Observatoire des Médias , ecrivez plutôt des romans....
Permettez-moi juste d'émettre un petit bémol...
Ce serait quand même franchement bizarre que la banque en question ne demande pas son numéro de sécurité sociale à un client qui lui commande une nouvelle carte bleue par téléphone...
Aux Etats-Unis on vous demande ce numéro partout, c'est d'ailleurs l'information essentielle à obtenir pour tout type de fraude en matière d'identité. Et je ne connais encore personne qui le fasse figurer sur son profil Facebook.
Maintenant si votre banque ne vous pose même pas ce genre de question quand vous lui demandez ce type de service au téléphone, il est grand temps d'en changer !
Salut pom,
Le coup de refaire faire des cartes bleues ou autres, c'est un type d'IBM qui le dit, cité par Technaute (le lien est dans l'article).
Ensuite, pas besoin de numéro de sécu pour utiliser une CB via un compte paypal.
Bah !! ça dépend des banques ! une première carte envoyée en courrier simple et perdue par la poste, la seconde fabriquée et à disposition à l'agence ; j'y vais, je récupère la carte sans rien donner comme renseignements.......tout baigne sauf que je ne suis pas la titulaire de cette carte !
Et oui ça arrive même dans ma campagne, rassurez-vous je rendais un service en allant chercher cette carte et l'ai remise aussitôt à son légitime propriétaire ! c'est mon plus gros défaut l'honnêteté
isatis
Il y a des arnaques bien plus simples et moins risquées que celle-ci.
Et puis vous n'expliquez pas comment vous récupérez les cartes bleues.
Pas très crédible.
Vous nous prenez pour des cons ?
Si l'article est séduisant dans la forme (ha ouiiiii, ça peut marcher) on se rend compte en le désossant que ça ne tient pas, mais pas du tout la route.
Déjà, aller imaginer de racheter une start up pour récuperer une base de donnée... passons.
Mais le reste (on la récupère comment la carte bleue??? par la Poste ? l'auteur de ces lignes a t il une CB ?)
Je prends cet article comme une légende urbaine à référencer sur hoaxbuster.com. Comme toutes les légendes urbaines, il y a une morale à tirer : changez donc vos mots de passe, on ne sait jamais. pour le reste, je me demande à quoi sert cet article sur un site d'information ?
Pour ceux qui parlent de CB : savez qu'aux US, les CB n'ont pas de puce, et donc pas de code secret? Que les infos importantes se résument au numéro inscrit dessus. Ca m'étonnerais pas que les banque refilent les numéros à leurs clients s'ils le demande, pour éviter d'attendre l'arrivée de la CB par la poste...
Ne sous estimez pas la puissance du Social Engineering !