Window on the media
Grâce à Facebook, devenez l'Al Capone du web 2.0
Par Nicolas Kayser-Bril | Window on the media | 29/08/2007 | 11H00
Le grand banditisme version 2.0, c'est facile ! Avec une mise de fonds initiale ridicule et ces quelques conseils, vous pourrez devenir le » Al C4p0ne » du réseau sans quitter votre fauteuil.
Rachetez une start-up en faillite
La première marche sur votre chemin de Don Corleone du web passe par un petit investissement. Plus cher qu'un calibre, mais moins qu'un kilo de coke, vous allez devenir chef d'entreprise pour quelques milliers d'euros, en rachetant une start-up ratée. Vous en trouverez facilement sur e-Bay ou sur un site spécialisé comme la » dead pool » de TechCrunch. (Merci à Seamus pour l'idée).
Moissonner les données personnelles
Pas question pour vous d'essayer de relancer la start-up -vous êtes bien au-dessus de ça. Au contraire, vous allez désosser votre entreprise jusqu'à trouver cette pépite : la base de données contenant les adresses e-mails et les mots de passe des anciens bêta-testeurs ou clients.
Infiltrer Facebook
Armé de quelques milliers d'adresses e-mail, rendez-vous maintenant sur le réseau social Facebook. Disons que si 10% des internautes utilisent le même mot de passe pour tous les sites qu'ils utilisent, ça vous donnera accès à une centaine de comptes. Mieux, vous pouvez créer vous-même de faux profils. Pas la peine d'essayer MySpace, les utilisateurs de Facebook sont bien plus solvables.
Mystifier la banque
Vous avez désormais accès aux détails des comptes infiltrés et à ceux de leurs amis. Parmi ceux-ci, vous pouvez espérer trouver plusieurs dizaines de bonnes poires qui affichent leur date et lieu de naissance, leur adresse, leur parcours universitaire et le nom de leur chat.
Prenez note de tous ces détails, soigneusement. Il n'y a plus qu'a appeler leur banque. Certains disposeront forcément d'un compte dans les trois ou quatre plus grosses banques du marché visé. Vous pourrez alors, en vous faisant passer pour votre victime, faire refaire leur carte bleue. La banque ne demandera pas d'autres informations que celles que vous avez trouvé sur Facebook, comme le souligne Technaute. N'oubliez pas non-plus de vider leurs comptes sur PayPal, la banque en ligne d'eBay.
Récolter le cash
Voilà ! En trois jours et pour 10 000 euros, vous disposez maintenant de quelques dizaines de cartes bleues toutes neuves. En les exploitant habilement vous devriez en tirer plusieurs centaines de milliers d'euros. Ni la prostitution, ni la drogue n'offrent des rentabilités de cette magnitude aussi rapidement avec un risque aussi faible.
Moralité
Non, Internet n'est pas le paradis des mafieux et la probabilité de se faire détrousser en utilisant Facebook reste extrêmement faible. Vous diminuerez néanmoins le risque en utilisant l'un des gestionnaire de mot de passe recommandés chez Francis Pisani et en vérifiant régulièrement le niveau de vos comptes.
Du côté de Facebook, la politique de l'autruche prévaut. Contacté par des médias suédois s'étant emparés de telles affaires, la firme s'est refusée à tout commentaire (via Media Culpa).
- 16152 visites
- Version imprimable
Vous avez aimé cet article ? Achetez votre plaque et soutenez l'indépendance de Rue89
Appelez le 08 99 78 00 93 (1,68 € / appel)
Envoyez « RUE » par SMS au 81027 (1,5 € / SMS)
En savoir plusAccrochez une plaque Rue89 sur votre page de membre et dans vos commentaires. Votre plaque, qui comportera votre numéro de riverain, apparaîtra pendant un mois.
123456
Rentrez le code que vous recevrez dans le cadre ci-dessous pour activer votre plaque
37
(Pour réagir, connectez-vous)
De Thorgal46
Informaticien dans le Lot | 14H17 | 29/08/2007 |
Puisque on parle d'infilter des infos sur Internet, j'aurais qqs précisions à demander :
un article est paru dan Rue89 au sujet de Spock, un moteur de recherche censé collecter sur la toile des informations personnelles. Je ne suis pas un spécialiste mais je crois que les moteurs de recherches effectuent leur collecte de données en scrutant les pages HTML ; or lorsque je m'inscris sur un site en remplissant par exemple un formulaire, ces informations sont stockées dans des bases de données et non pas en ligne sur des pages web.
Cela signifierait que Spock n'est capable de collecter des données que sur des sites qui « parlent de moi ». Ce qui pour des millions d'internautes ne risque pas d'arriver très souvent.
Ai-je tout compris de travers ou ne nous a-t-on pas fait peur un peu vite en brandissant l'image du Big Brother ? ?
à Thorgal46
De Nicolas Kayser-Bril
(auteur)
Window on the media | 14H32 | 29/08/2007 |
Je suis pas spécialiste non plus, mais il me semble impossible d'accéder légalement aux données d'une database si elles ne sont pas expressément publiées (ie rien à craindre pour les formulaires).
Effectivement, Spock ne fait qu'indexer des pages web. La différence avec Google, c'est que ses algorithmes sont optimisés pour la recherche de personnes.
à Nicolas Kayser-Bril
De Sygus
14H49 | 29/08/2007 |
Tout à fait, un moteur n'a accès qu'à ce qui est publique. En l'occurrence, j'imagine que Spock scrute les pages « profil » des sites communautaires, des forums, les pages « A propos » des auteurs, des journalistes, les sites comme wikipedia sont également une aubaine pour amasser des infos sur des personnes connues. Pour trouver des photos, il utilise simplement un moteur de recherche d'image comme celui de google image ( http://images.google.fr/imghp ? ie=UTF-8&oe=UTF-8&hl=fr&tab=wi&q= ). Tapez votre nom, et il y a de fortes chances qu'une photo de vous apparaisse. Surtout si vous êtes sur un trombinoscope d'anciens élèves ou de sites de réseaux sociaux.
Une parade est d'utiliser un pseudo différent sur chaque site et d'y associer des informations personnelles différentes également, car il est possible de croiser des informations et de retrouver le nom d'un individus à partir de sa ville, de sa date de naissance, etc. Mais bon, faut pas non plus tomber paranoïaque : )
à Sygus
De
12H55 | 30/08/2007 |
Celà montre votre niveau d'inteligence….
Il ne s'agit pas de hacker la base de données par internet, mais de recuperer les données de la database par l'achat de la start up (en faillite) qui à créer cette database.
En rachettant la start up à bas coûts, celà donne les droits sur la base de donnée cliente qu'aura rempli tous ceux qui auront laisser des informations sur le site précedement avant et pendant l'acaht de la start up. Notament le mdp. Puisqu'il est difficile de retenir de nombreux mots de passe pour les divers site, il y à une probabilité que ce mdp soit le même que celui utiliser pour des sites communautaires qui contienent des informations plus personelle tel que l'adresse et la date de naissance qui sont les deux principales informations demandés lorsqu'on fait des opérations avec sa banque au telephone.
Il ne s'agit donc pas de big brother ou de pirates comme on l'entend.
De Sygus
13H17 | 30/08/2007 |
Nous parlions du nouveau moteur Spock et non pas de l'affaire Facebook.
Au passage, un peu de courtoisie n'aurait pas été de trop.
De
14H12 | 02/09/2007 |
Je suis tout à fait d'accord, vous pourriez être plus aimable…
Mais je ne suis pas là pour parler de ça. Dans une grande majorité des bases de données, les mots de passe ne sont pas stockés en clair, mais cryptés (le plus souvent en md5), ce qui empêche toute personne ayant accès à la base de donnée de pouvoir récupérer les mots de passe. A chaque fois que l'utilisateur entre son mot de passe pour s'authentifier, le mot de passe qu'il a entré est crypté en md5, puis comparé à celui stocké dans la BDD.
Ainsi cette méthode d'arnaque ne doit pouvoir fonctionner que sur quelques rares BDD mal remplies…
J'espère que mes quelques connaissances auront pu vous éclairer…
à Thorgal46
De pierrejcallard
www.nouvellesociete.org | 01H21 | 30/08/2007 |
Mettez simplement votre nom , entre guillemets, sur le chercheur de Google…. je parie que vous sortirez des centaines de fois, des milliers si vous avez fait quoi que ce soit.. Le problème est très réel.
Pierre JC Allard http://nouvellesociete.org
à Thorgal46
De
14H42 | 30/08/2007 |
Un informaticien, un étudiant, un observateur des médias… qui n'ont jamais entendu parlé du scandale lié à Google il y quelques années ? ? ?
Des requêtes un peu particulière sur google permettait de pénetrer certaine base de données confidentielles (des infos très privées, adresses physiques, numéros de sécu, ce genre de chose pouvaient être extraites).
Le problème dans vos assurance come quoi c'est impossible, c'est que vous oubliez une regle fondamentale de l'informatique : les programmes ne sont pas parfaits, il y a TOUJOURS des bugs et des failles exploitables. Pourquoi ? Parcequ'un BON codeur fait en moyenne 1 erreur toutes les dix lignes. Et qu'un logiciel comme MaxOS fait plusieur MILLIONS de lignes de code. Eliminez 99.9% des bugs, il en reste toujours une sacrée floppée !
De
14H33 | 29/08/2007 |
Enorme, merci pour cet article qui va me faciliter la vie pour expliquer l'importance de la sauvegarde des données privées sur internet ! !
De
14H54 | 29/08/2007 |
Y as t'il déja des exemples d'arnaque de ce style ?
De Nicolas Kayser-Bril (auteur)
Window on the media | 15H04 | 29/08/2007 |
Difficile de savoir… Des usurpations d'identité et des arnaques à la carte bancaire, il y en a tous les jours, mais les voleurs se ventent rarement de leurs sources et la victime peut difficilement savoir d'où venait les infos dont le voleur s'est servi.
Monster s'est récemment fait piquer 1,3 millions de profils. Ca va être intéressant de voir ce qu'en font les hackers.
à Nicolas Kayser-Bril
De
15H23 | 30/08/2007 |
Non, ils ne se vAntent pas les voleurs, ils suivent le vEnt pour courrir plus vite : -))))))
De
15H18 | 29/08/2007 |
C'est pas nouveau… juste les gens demeurent aussi bêêêêêête
la source
De
15H46 | 29/08/2007 |
OK, et le Al Capone ne question il se les fait envoyer à quelles adresses les carte bleues ?
Les victimes, une fois prélevées, ne vont-elles pas aller demander des comptes à leur banque, lesquelles ont forcément fait parvenir d'une manière ou d'un autre les CB au faux client ? D'autant que la création d'une nouvelle CB annule la précédente. Le temps que l'envoi soit fait, le vrai client de la banque aura peut-être même eu le temps d'envoyer la police ceuillir elle même la CB frauduleuse.
Y a que les benêts pour croire que leurs données personnelles sont en sécurité sur le Net, mais il n'y a que les imbéciles pour croire que c'est facile de monter impunément une arnaque avec les nouvelles technologies.
Si vous voulez gagner de l'argent, travaillez, c'est moins risqué !
De
16H30 | 29/08/2007 |
Utilisons une boite postale créée avec un faux nom !
Ou bien backchichons le facteur car quand on veut, on peut
De
15H25 | 30/08/2007 |
Je dirais même plus !
TRAVAILLEZ PLUS POUR GAGNER PLUS ! ! ! ! ! : -))))))
De
16H11 | 29/08/2007 |
C'est pourquoi, sur les sites qui doivent être bien faits, il faut stocker le mot de passe sous forme de hash. Ainsi, il est impossible à quelqu'un accédant à la base de connaître le mot de passe en clair.
L'inconvénient est le suivant : le site n'est pas capable de renvoyer le mot de passe existant à son propriétaire, en cas d'oubli. Dans ce cas, il doit en générer un nouveau pour l'envoyer au propriétaire, qui pourra alors le changer. A mon avis, c'est mieux…
De Jefff
19H08 | 29/08/2007 |
J'ai toujours été effaré par la sécurité défaillante des nouvelles technologies informatiques. Travaillant sur grands systèmes depuis plus de 20 ans ça me laisse coi. Sur un des grands systèmes les plus connus des professionnels (vous savez, celui de la firme de Raleigh) les mots de passe sont cryptés. Lorsqu'on entre son mot de passe pour se signer, le système le crypte et le compare avec le mot de passe crypté. Aucun administrateur ne peut donc trouver le mot de passe. De plus, l'algorithme de cryptage n'est pas bijectif, ce qui signifie qu'à partir du mot de passe crypté il existe une infinité de mots de passe en clairs pouvant lui correspondre. Et ceci est directement intégré au système ce qui évite d'avoir à le prévoir soi-même comme l'explique l'intervenant précédent…
Eh oui… Tout ce qui est nouveau n'est pas plus fiable et meilleur à tous points de vue que ce qui existe depuis des décennies…
à Jefff
De
21H05 | 29/08/2007 |
la faille de sécurité est lus souvent dans l'humain que dans la système lui même : p
De pom7848
étudiant/chargé de cours | 23H01 | 29/08/2007 |
Eh oui… Le type qui a ses mots de passe sur un post-it collé sur son écran…
à Jefff
De Sygus
02H27 | 30/08/2007 |
En effet, le cryptage des mots de passes est un atout évident en terme de sécurité et de confiance, mais ce n'est pas non plus la panacée. Il est possible, dans certaines situations, de travailler directement avec la forme cryptée des mdp, et donc de s'authentifier sans avoir à connaître la forme initiale. Cela est possible notamment sous certaines version de Windows avec le statut de simple utilisateur.
Une parade possible contre l'admin qui a accès à toutes ces infos et qui peux tester les mots de passes de ses utilisateurs sur d'autres sites, est d'utiliser un mdp différent sur chaque site. Autre conseil pour éviter de se faire « casser » rapidement son mdp : il faut, dans la mesure du possible, introduire des caractères ésotériques (lettres accentuées, chiffres, et autres @, %, $, £, µ, etc.)
De
16H25 | 29/08/2007 |
Pas de Crainte, sur www.StreetReporters.net dont je suis le webmaster et que nous développons en Ruby On Rails LES MOTS DE PASSE NE SONT PAS STOCKES DANS LA BASE DE DONNEES.
Du coup, même si on nous rachète, ça sera impossible de connaître les mots de passe de nos users.
A bons développeurs, salut !
De
14H16 | 02/09/2007 |
Juste par curiosité, comment fonctionne l'authentification des utilisateurs dans ce cas là ?
De
16H34 | 29/08/2007 |
A l'auteur de l'Article :
Pouvez vous nous indiquer en regard des points 2 à 5 de votre article, le risque pénal en loi française ?
Simple curiosité ( ! )
Merci
De Nicolas Kayser-Bril (auteur)
Window on the media | 19H55 | 29/08/2007 |
Je pense que la jurisprudence en la matière est encore à développer. Ce genre de délit doit se rapprocher de l'escroquerie, mais je suis pas spécialiste.
Si l'idée vous plais, je vous conseillerais de vous baser dans un pays tiers avec lequel la France n'a pas d'accord d'extradition : o)
De
19H25 | 29/08/2007 |
Les banques qui se respectent (vis-à-vis de leurs client : -) ) ont plus de sécurité que ces simples vérifications…
De
19H26 | 29/08/2007 |
Les banques qui se respectent (vis-à-vis de leurs client : -) ) ont plus de sécurité que ces simples vérifications…
De teymour
20H19 | 29/08/2007 |
Le raisonnement me semble assez cohérent. Toute fois, je m'interroge sur les derniers points.
En quoi la capacité de faire refaire une carte bancaire pause un problème de sécurité ? La victime ne pourra plus utiliser son ancienne carte, d'accord, mais comment Al Capone pourra utiliser la nouvelle carte pour rembourser ses 10 000 euros d'investissements ? Il me semble que c'est un objet physique qui, pour être acquis, nécessite de se déplacer à sa banque ou d'attendre devant sa boite (physique) aux lettres (voir les deux). Sans parler de la génération du nouveau code « secret » associé.
Bref, à moins qu'Al Capone soit votre voisin, vous ressemble énormément et vous ait volé votre carte d'identité, je vois la réalisation du tour de passe passe un peu difficile. Sinon, je ne suis pas sur qu'il puisse tirer de son « arnaque » le moindre centime.
De
22H25 | 29/08/2007 |
N'importe quoi cet article ….. techniquement impossible …..
Mr de l Observatoire des Médias , ecrivez plutôt des romans….
De pom7848
étudiant/chargé de cours | 22H59 | 29/08/2007 |
Permettez-moi juste d'émettre un petit bémol…
Ce serait quand même franchement bizarre que la banque en question ne demande pas son numéro de sécurité sociale à un client qui lui commande une nouvelle carte bleue par téléphone…
Aux Etats-Unis on vous demande ce numéro partout, c'est d'ailleurs l'information essentielle à obtenir pour tout type de fraude en matière d'identité. Et je ne connais encore personne qui le fasse figurer sur son profil Facebook.
Maintenant si votre banque ne vous pose même pas ce genre de question quand vous lui demandez ce type de service au téléphone, il est grand temps d'en changer !