Enjeux Vie privée PLAN

Transcription

1 Enjeux Vie privée Professeure Esma Aïmeur 1 Université de Montréal Département d informatique d et de recherche opérationnelle Montréal, Canada aimeur@iro.umontreal.ca PLAN Introduction vie privée Exemples et statistiques Vol identité Profil hackers Impact victimes Réseaux sociaux Moteurs recherche de personnes Reconstitution profils Techniques Méthodes traditionnelles Méthodes en ligne Législation Bonnes pratiques Conclusion 2

2 Définition Au Canada, c est George Radwanski qui àmis de l avant la terminologie «vie privée» en «Le droit d une personne de contrôler l accès àsa personne et aux renseignement qui la concerne. Le droit àla vie privée signifie que la personne décide des renseignements qui sont divulgués, à qui et à quelles fins.» 3 4

3 Identité numérique 5

4 7 Exemple de géolocalisation «Bonjour M. Tremblay, nous sommes heureux de voir que vous êtes àproximité, nous pensions justement àvous puisque vous n'êtes pas passé nous voir depuis près de 6 mois. Laissez nous vous faire une offre imbattable sur les vos jeans préférés, nous en avons justement deux de votre taille en magasin. Comme vous n'êtes qu'à quelques minutes, nous vous faisons une offre de 20% de rabais valide pour les 20 prochaines minutes. Ne manquez pas ça, saisissez là!» 8

5 Vol d identité 9 Le vol d'identité «Votre écran d'ordinateur n'est pas un mur derrière lequel vous vous cachez, mais plutôt une fenêtre grande ouverte par laquelle deux milliards d'inconnus vous observent.» Jean Chartier, Président de la Commission d'accès àl'information du Québec (28 janvier 2011 la journée mondiale de la protection de la vie privée ) l 10 10

6 11 Types de données postées sur Facebook (Consumer Reports National Research Center, mai 2010) Nom et prénom Photo de soi Adresse courriel Date de naissance avec l'année Date de naissance sans l'année Photos des enfants Noms d'amis, de proches, de collègues Employé Noms des enfants Adresse du domicile Numéro de téléphone mobile Numéro de téléphone du domicile Informations de présence au domicile 84% 63% 51% 42% 30% 24% 19% 17% 16% 7% 7% 4% 3%

7 Voici le cas d une histoire réelle Vol d identité en 1 heure (USA) avec consentement de la personne Professeur et ancien consultant dans une société de sécurité informatique a tenté une expérience originale. Il a réussi àobtenir des informations confidentielles sur une personne et ainsi à s introduire dans ses comptes bancaire. HERBERT H. THOMPSON La personne visée, s appelle Kim, est très peu connue d Herbert. Il sait juste comment elle s appelle (nom et prénom). 14

8 Acte 1: Basé sur ces informations, Herbert se lance dans une rapide recherche sur Google lui donne un blog et un C.V. de Kim. Le blog lui donne une foule d informations personnelles comme son adresse Gmail. Du C.V., il en retire une vielle adresse fournit par l établissement scolaire de Kim. 15 Acte 2: Il se connecte sur le site de la banque de Kim et fait une demande de récupération de mot de passe. Le site indique qu un a été envoyé avec le nouveau mot de passe réinitialisé. Du coup, sa prochaine cible devient le compte Gmail. Acte 3: Il se connecte donc sur Gmail et fait une demande de récupération de mot de passe. un avec le mot de passe réinitialisé a été envoyé sur l adresse scolaire de Kim. 16

9 Acte 4 : Nouvelle cible, le compte de l école. Une nouvelle fois, il utilise la fonction mot de passe oublié. On lui demande une adresse postale (trouvée sur le C.V.), et une date de naissance. Acte 5 : Herbert retourne sur le blog où Kim raconte comment son anniversaire s est déroulé tel jour Sur Facebook, ses amies lui souhaitent joyeux anniversaire Acte 6 : Il retourne sur le compte scolaire de Kim, fait plusieurs essais et tombe sur la bonne année de naissance. Sur Gmail, il récupère le lien de réinitialisation du compte bancaire. C est fini! Il peut s amuser avec l argent de Kim. 17 Types de vol d identité

10 Financier : transfert de fond du compte de la victime Médical : traitement aux frais de l'assuré usurpé Éducationnel : vol de crédit, falsification de notes etc. Criminel : crime commis sous une autre identité Synthétique : création ou combinaison de vraies identités Exemples et statistiques

11 21 Vol de photos sur Facebook: Usurpation d'identité du frère pour commettre des crimes facebook une inconnue ma vole mes photoset mon identite divers/il usurpe l identite de son frere 30 mois deprison ferme php Manque de vigilance d'un père, son fils achète un avion de combat 7 ans il achete un avion de combat / 22

12 Faux profils de personnes célèbres Miss Hawaii Omar Sy humoriste francais d identite sur Facebook Christophe Rocancourt faqs.com/christopher rocancourt the false rockerfeller.html Animateurs et vedettes québécoises /a3i4rgv3pm/menu/ 23 Données personnelles collectées par les établissements d enseignement Données générales d identification. Données relatives au parcours scolaire de l étudiant en dehors de l établissement. Données relatives au parcours académique de l étudiant au sein de l établissement. Enregistrées pour une durée illimitée. Une absence ou mauvaise protection. Atteinte àla vie privée de l étudiant ou de l élève

13 Les élèves et étudiants cibles du vol d'identité 30% des victimes du vol d identité sont âgées entre 18 et % des collégiens sont préoccupés par le vol d'identité. 89% des parents ont discuté des mesures de sécurité avec leurs enfants, mais ces derniers continuent à adopter des comportements à risque. students at risk for identity theft/ Attaques entre janvier et Mars 2011 Le 16 mars, Le réseau de St. Louis University piraté. 800 étudiants et employés actuels et anciens touchés. Le 9 mars, à l Université Chapman en Californie, un fichier par erreur disponible àtous. Données personnelles des étudiants mises en ligne. Àla même date, à l'université Eastern Michigan, 2 employés ont fourni de l'information sur 45 étudiants àdes tiers. le 26 janvier, À l Universal Technical Institute en Arizona, Données personnelles de 98 publiées en ligne suite àun vol de portable. Le 15 janvier, le site d Omaha School a été la cible d une cyber attaque. Les données personnelles de 4300 personnes ont été piratées breach/new 26

14 Hackers 28

15 Acteurs dans le domaine Black Hat Criminels Électrons libres (indonésien a créé un virus pour le plaisir) Script kiddies (des enfants utilisent des applications/outils pour faire des dommages) Gray Hat (organisme mandaté)/white Hat (employé) Consultants en sécurité Auditeurs (Penetration Testers) Universités Entreprises Gouvernements Hackers Dans les années 1980, des groupes de pirates informatiques comme le Chaos Computer Club (CCC) se sont auto proclamés hackers, ce qui signifie : «experts dans leur domaine». Ce terme a alors été repris par la presse et même parfois dans le milieu de la sécurité informatique. Le mot hacker, parfois traduit par bidouilleur, désigne simplement en Outre Atlantique une personne apte à modifier astucieusement un objet pour le destiner àun autre usage que celui prévu initialement. Le terme ne comporte pas de connotation péjorative, et n'est pas nécessairement associé à la sécurité informatique, encore moins àdes activités illégales. 30

16 Finalité des Hackers Pour le plaisir Par curiosité Pour la gloire Pour faire des dommages Pour demander des rançons Pour se venger Pour menacer des organisations Pour l appât du gain Idéologie et justice 31 Sociologiquement Sentiment d impunité «derrière son PC» Syndrome du «pas vu pas pris» Me too (mon voisin le fait) Nouvelle culture «hippie» : libre, gratuit Refus des institutions 32

17 DEF CON DEF CON est la convention hacker la plus connue à travers le monde. Elle est tenue chaque année àlas Vegas, aux États Unis. La première convention DEF CON s'est déroulée en juin Le public de cette convention est pour la plupart composé de professionnels de la sécurité des systèmes d'information, de crackers, et de hackers intéressés par la programmation et l'architecture

18 Informations Recherchées Informations d identification (nom, prénom, âge, sexe, adresse, numéro de téléphone, nom de jeune fille de la mère, numéro d assurance sociale, numéro d identification personnel, revenu, emploi, situation familiale, lieux de résidence, code utilisateur, pseudonyme) Habitudes de consommation (magasins fréquentés, relevés de compte, actifs, obligations, etc.) Habitudes de navigation (sites web visités, fréquences des visites, nom des forums, amis sur le net, etc.) Habitudes de vie (loisirs, relations, moyens de déplacement, périodes de congés, etc.) Données sensibles (carrière, employeur, dossier médical, casier judiciaire) Données biologiques (groupe sanguin, code génétique, empreintes) 36

19 Exemple de la Russie Du numéro de sécurité sociale, àla date de naissance, en passant par le prénom de la mère, le numéro de compte bancaire, ou de carte de crédit avec son code Ces données sont stockées sur des sites clandestins fonctionnant comme des self services d informations volées. Comment y accéder? Il faut montrer patte blanche et prouver sa bonne foi criminelle en apportant un lot de données piratées 37 Pertes financières et atteinte àla réputation Mars 2009 : Des hackers chinois ont découvert un algorithme de génération de cartes cadeaux utilisé par Apple C'est àla fois une perte financière pour Apple, et une perte de crédibilité

20 Utilisation de vos renseignements personnels par le hacker Faire une demande de carte de crédit àvotre nom ou tout simplement faire rediriger votre compte existant àson adresse Utiliser votre nom pour ouvrir un compte de téléphone cellulaire (portable) ou d'autres commodités Faire une demande de prêt en votre nom ou ouvrir un nouveau compte bancaire et obtenir des chèques Obtenir un document officiel avec votre nom mais avec sa photo 39 Utilisation de vos renseignements personnels par le hacker (suite) Utiliser votre nom et NAS (Numéro d Assurance Sociale) pour obtenir des avantages sociaux du gouvernement Remplir un rapport d'impôt frauduleux avec vos renseignements Obtenir un emploi ou louer un appartement Donner vos renseignements s'il est arrêté par la police afin que ce soit vous qui soyez poursuivi lorsqu'il ne se présentera pas en cour 40

21 Sources d information Gouvernement : casier judiciaire, antécédents médicaux Compagnies dont vous êtes clients : téléphone, Amazon Compagnies dont vous n'êtes pas clients : sociétés mères, entreprises filiales Entreprises en faillite 41 Alertes (thématiques et actualités selon les intérêts), Agenda (agenda personnel et professionnel), Code (ensemble de ressources pour la programmation et problèmes des développeurs ), Earth (lieux d'intérêt), Gmail (communications et échanges avec ses contacts), Images (sujet d'intérêt), Groupes (groupes auxquels nous sommes affiliés), Maps pour mobile (géolocalisation de chacun), Actualités (domaines d'intérêt), Patent Search (idées de brevets et plans stratégiques), Scholar (recherche universitaire et expertise), SMS (contenu des messages textes et numéros de téléphone), Talk (contenu des communications), Traduction (langue maternelle), Youtube (sujets d'intérêt), etc.

22 Transaction profile Purchase history Preference profile Behavioral profile 43 Préservation de la vie Privée > Technologies et services informatiques Courtiers de données (Data Broker) Informations vendues sont non nominatives permet de préserver la vie privée des internautes En cas de résiliation informations supprimées de la base de données Exemple litigieux: Intelius.com Fondé en 2006 Slogan: «se renseigner sur son entourage afin de savoir qui s occupe de nos enfants» 44

23 Moteurs recherche de personnes et aggrégateurs de données 46

24 L aggrégateur de données ramasse tous les contenus qu il trouve sur internet concernant les personnes recherchées. Ainsi, tous les messages, documents, photos, vidéos et commentaires qui sont publiés sur les blogs et réseaux sociaux se retrouvent référencés sur la même page. 47 Victimes

25 Personnes à risques Enfants Adolescents Étudiants Propriétaires de petites companies Personnes riches Personnes aimant les technologies mais n ayant pas de culture de sécurité Persones avec hautes responsabilités Personnes connues Personnes agées Personnes mortes 49 Les élèves et étudiants cibles du vol d'identité 50% des élèves ne déchiquettent pas les données sensibles. 40% ont fourni leurs numéros de sécurité sociale en ligne. 9% partagent les mots de passe en ligne avec des amis. 1/10 ont accueilli des étrangers dans leurs appartements. students at risk for identity theft 50 50

26 Les collégiens particulièrement vulnérables au vol d'identité Insouciants quant à la protection de la vie privée À l adolescence, on a toujours un sentiment d'invulnérabilité Naiveté et innocence sur Internet Leurs dossiers judiciaires sont vierges Leurs dossiers de crédits sont mûrs pour la cueillette students at risk for identity theft/ Les mots de passe La forme d'authentification des utilisateurs la plus répandue. La Base de données du site ROCKYOU aux USA a été piratée en décembre 2010, La liste des 32 millions de mots de passe utilisateurs a été mise en ligne. La société informatique Imperva les a analysé

27 Impacts sur les victimes Types d'informations sur la réputation en ligne susceptibles d'handicaper une candidature Mode de vie Commentaires inappropriés Photos, vidéos indésirables Commentaires critiques sur d'anciens employés Commentaires indésirables écrits par des collègues Appartenance à un groupe/réseau Découverte de la falsification d'informations par le candidat Faible compétence communicationnelle en ligne Antécédents financiers É-U Royaume Uni Allemagne France 58% 45% 42% 32% 56% 57% 78% 58% 55% 51% 44% 42% 40% 40% 28% 37% 40% 37% 17% 21% 35% 33% 36% 37% 30% 36% 42% 47% 27% 41% 17% 42% 16% 18% 11% 0%

28 Reputation and Credibility Risks (CrossTab and Microsoft 2010) 55 Applications géo sociales Foursquare Gowalla FacebookPlaces 56

29 Géolocalisation et Facebook Un service de Facebook qui permet d indiquer àtout moment la position et ce que fait un internaute àses amis à l aide de son téléphone. Ces indications sur son emplacement seront mises àjour dans son statut, sur son mur ainsi que sur le fil d'actualités de ses amis. S'il est accompagné d'autres utilisateurs, ceux ci peuvent être identifiés Non seulement on sait où vous êtes, mais on sait aussi où vous ne vous trouvez pas! 58

30 Négligence des internautes 59 Mobilité et géolocalisation «Saviez vous que tous les mercredis ensoleillés vous allez faire votre épicerie, sinon le jeudi? Votre épicerie se fait chez Provigo et dure 1h23 en moyenne, votre déplacement pour vous y rendre et revenir dure environ 27 minutes» Si notre consommateur enregistrait sa liste d épicerie àmême son téléphone intelligent, on pourrait même connaitre son alimentation et dépendamment de ses achats, faire des évaluations sur ses problèmes potentiels de santé. On pourrait savoir sa fréquence de visite àl épicerie, sa fréquence de consommation au restaurant et à quel type de restaurant. On pourrait analyser les données pour les vendre aux différentes compagnies d assurance en leur faisant un portrait des habitudes de vie et une évaluation des risques liés ànotre individu. 60

31 61 Quand la victime devient coupable! Outre les conséquences dramatiques que ces fraudes à l identité peuvent entraîner, il appartient à la victime de démontrer son innocence àdéfaut de prouver la culpabilité de l usurpateur. Certaines victimes se retrouvent embourbées dans une cascade d ennuis sans réussir àconvaincre l administration de leur véritable identité. Un enfer qui dure parfois des années sans véritable recours juridique. 62

32 Réseaux sociaux 64

33 65 Un mafieux arrêté grâce à Facebook Sa passion pour Facebook, lui aura été fatale. Arrêté par les forces de l'ordre grâce aux traces laissées par ses connexions internet.(17 mars 2010) killer au bazooka trahi par Facebook

34 Interpol lance une chasse au criminels sur les réseaux sociaux "Aujourd hui, il y a autant de chances de croiser des criminels sur les réseaux sociaux comme Facebook que dans la rue ou dans un pub", explique Martin Kox, directeur adjoint d Interpol. interpol internet fugitif infra red crime sexuel reseaux sociaux facebook Les réseaux sociaux Internet une menace éternelle pour la vie privée. Une photo prise à l adolescence peut vous hanter après plusieurs années

35 Privacy Issues in SNS 69 SNS do not make users be aware of the danger of divulging their personal information (CrossTab and Microsoft 2010) 69 Méthodes de hacking

36 Méthodes de hacking Quelques types menaces Maillon faible : l humain? Ingéniérie sociale Analyse de rebuts (Dumpster diving) Écoute passive (Sniffing) Virus, Vers Pourriel (Spam) Création de faux scénarios (Pretexting) Hammeçonnage (Phishing / Vishing) DNS Pharming Ecremage (Skimming) Porte dérobée (Back door / Trojan Horse / cheval de Troie) Attaque par périphérique 72

37 Quelques types menaces (suite) Enregistreur de frappe (keylogger, screenlogger) Robots (Botnets) Logiciel espion (Spyware) Publiciel (Adware) Attaques du protocole Bluetooth Menaces de l environnement mobile Déni de service (DOS /Flood/DDOS) Défacement ou tag numérique (Defacing) Arnaque nigériane 73 Black Hat SEO (Search engine optimization) Des attaques utilisant les techniques du référencement Web les résultats des moteurs de recherche sont "empoisonnés" pour rediriger le trafic vers des sites infectés

38 Les faux produits antivirus (scarewares) Vous naviguez sur Internet quand un avertissement vous saute au visage: «Nous avons trouvé des virus dans votre ordinateur! Cliquez ici pour vous en débarrasser.» Il s agit fort probablement d une arnaque. dex.html Les attaques via les réseaux sociaux 76 76

39 Les attaques ciblant les appareils mobiles Smartphones ou PDA (Personal Digital Assistant) Les utilisateurs d'appareils mobiles, courent jusqu à trois fois plus de risques d être la cible d attaques, selon le spécialiste de la sécurité Trusteer Le Cloud Computing L infonuagique Les applications et les données ne sont plus sur l'ordinateur local, mais métaphoriquement parlant dans un nuage, composé d'un certain nombre de serveurs distants L'accès au service se fait par un navigateur Web. C est la tendance du moment et des années àvenir. Danger: Confier ses applications et ses données à une autre entité. Confier également sa confidentialité, son intégrité et la disponibilité de ses données. blog.fr/index.php/1361 quest ce que le cloud computing/ 78 78

40 Maillon faible : l humain? Une personne cherchant àpénétrer un système utilisera tous les moyens possibles de pénétration mais pas nécéssairement le plus évident ou celui bénéficiant de la défense la plus solide Un système est aussi solide que son attribut le moins sécuritaire Souvent l humain est le maillon faible Écrire ses mots de passe Révéler des informations par abus de confiance Présumer que son mécanisme est infaillible etc. 79 Ingénierie sociale L'ingénierie sociale (social engineering en anglais) est une forme d'escroquerie utilisée en informatique pour obtenir un bien ou une information. Cette pratique exploite l'aspect humain et social de la structure à laquelle est lié le système informatique visé. Le hacker abuse de la confiance, l'ignorance ou la crédulité, de personnes possédant ce qu'il tente d'obtenir. 80

41 Lieux et personnes propices pour la collecte d informations Lieux : Salons, restaurants, cafés, bars Trains, avions Ordinateurs dont l écran est en vue Discussions animées entre professionnels dans un lieu public avec une tierce personne qui écoute (écoute passive) Discussion àhaute voix au téléphone Personnes et organismes : Secrétaires, standardistes, stagiaires, etc. Anciens employés et hauts cadres sujets àsurenchère Administrateur système (jeux, amis indiscrets, etc.) Fournisseurs, prestataires de services, 81 Ingénierie sociale (suite) Comment? Usurpation d identité Manipulation psychologique Exploitation du manque de connaissances Pourquoi? Bêtise Nuisance Appât du gain Système social déviant (issu de la société civile) Réclusions sociales (chômage, autorité sur le lieu travail, ) Àqui cela profite? Sociétés spécialisées dans les renseignements Sociétés concurrentes Groupes organisés, etc. 82

42 Comment découvrir un mot de passe Consultation de différents fichiers Utilisation de logiciels spécialisés dans la collecte de renseignements techniques Visite des locaux Observation à distance des moniteurs Enregistreurs de frappe (on en reparle plus tard) 83 Attaques exhaustives (brute force attacks) Une attaque exhaustive consiste àdécouvrir un secret en essayant toutes les valeurs possibles de ce secret. Par exemple, une attaque exhaustive pour découvrir un mot de passe essaie toutes les combinaisons de lettres (A, B, C Z, puis AA, AB, AC ) jusqu'à ce qu'une soit acceptée. Si vous avez perdu un mot de passe, un programme de recherche exhaustive de mots de passe vous dépannera : Cain, John the Ripper 84

43 Attaques par dictionnaire (dictionary attacks) La recherche de mots de passe peut être considérablement accélérée en essayant des mots de passe extraits du dictionnaire. Les utilisateurs choisissent souvent des mots du dictionnaire ou des combinaisons courantes comme, par exemple : «azerty». Beaucoup choisissent des substitutions comme «@zerty» ou des inversions comme «ytreza»; d'autres choisissent des noms d'artistes connus ou d'animaux familiers. 85 Deviner les mots de passe Elcomsoft ( vend des logiciels de récupération de mots de passe Windows perdus. Quand Elcomsoft cherche le mot de passe d'un compte (par exemple, celui de l'administrateur), il essaie toutes les combinaisons de mots de passe et les condense («hash»); il compare chaque condensat àcelui qui est stocké par Windows ou àcelui que Windows utilise pour l'authentification sur le réseau. 86

44 Analyse de rebuts Dumpster diving is the practice of searching through the trash of an individual or business in attempt to obtain something useful. In the realm of information security, this frequently means looking for documents containing sensitive information. However, as more and more information is being stored electronically, it is becoming increasingly useful to those seeking information through this means to search for computer disks or other computer hardware which may contain data. 87 Écoute passive (Sniffing) les attaques passives : consistent àécouter sans modifier les données ou le fonctionnement du réseau. Elles sont généralement indétectables. 88

45 Virus Un virus informatique est écrit dans le but de se propager àd'autres ordinateurs en s'insérant dans des programmes légitimes appelés «hôtes». Il peut se répandre à travers l'internet, mais aussi les cédéroms, les clefs USB, etc. Il peut avoir comme effet de nuire en perturbant le fonctionnement de l'ordinateur infecté. 89 Virus métamorphique La caractéristique principale d'un virus métamorphique est sa capacité à modifier sa structure interne ainsi que les instructions qui le composent. Le métamorphisme est un mécanisme de défense utilisé par différents programmes malveillants afin d'éviter leur reconnaissance et leur détection par des programmes de contrôle et de protection tel que les logiciels antivirus. Un virus dit métamorphique ne contient pas de décrypteur ni un corps viral constant, mais est capable de créer de nouvelles générations de lui même différentes àchaque réplication tout en évitant qu'une génération soit trop ressemblante avec celle qui la précède. 90

46 A propos de Vers Un ver, contrairement àun virus, n'a pas besoin d'un programme hôte pour se reproduire. Il exploite les différentes ressources afin d'assurer sa reproduction. Le but des vers peut être d espionner, d offrir un point d'accès caché, de détruire des données, de faire des dégâts, d envoyer de multiples requêtes vers un site internet dans le but de le saturer, etc. Les effets secondaires peuvent être aussi un ralentissement de la machine infectée, ralentissement du réseau, déni de services etc. 91 Exemple de Ver Février 2009, un indonésien a propagé un vers qui exploitait une vielle faille Windows (installant un rootkit) Visiblement pour le plaisir

47 Pourriel (Spam) Le pourriel ou le spam désigne une communication électronique, notamment du courrier électronique, non sollicitée par les destinataires, expédiée en masse àdes fins publicitaires ou malhonnêtes. Le premier pourriel a étéenvoyéle 3 mai 1978 par Gary Thuerk travaillant alors chez DEC. Il envoya son message àprès de la totalité des utilisateurs d'arpanet (ancêtre d'internet) vivant sur la côte ouest des États Unis, soit environ 600 personnes. Il fit cela sans mauvaise intention, afin d'inviter ces utilisateurs technophiles à une démonstration de la gamme DEC ; voulant éviter d'écrire un message à chaque adresse, il mit les 600 adresses directement dans le champ Destinataire. 93 Pourriel (suite) Spim Messages instantanés non sollicités (Msn, Yahoo messenger ) Spit Messages VOIP non sollicités, utilise les machines à composition automatique dans une perspective Web (telemarketing fait par une machine et passant par VOIP) 94

48 Hammeçonnage (suite) Le terme phishing s'inspire du terme phreaking : mot valise de «phone» et «freak». Originellement, le phreaking était un type d'arnaque utilisé afin de profiter de services téléphoniques gratuits surtout présent dans les années 1970, à l'époque des appareils analogiques. Le terme phishing aurait été inventé par les pirates qui essayaient de voler des comptes AOL. Il serait construit sur l'expression anglaise password harvesting fishing, soit «pêche aux mots de passe». Un attaquant se faisait passer pour un membre de l'équipe AOL et envoyait un message instantané à une victime potentielle. Ce message demandait àla victime d'indiquer son mot de passe, par exemple, «vérifier son compte AOL» ou «confirmer ses informations bancaires». Une fois que la victime avait révélé son mot de passe, l'attaquant pouvait accéder au compte et l'utiliser àdes fins malveillantes, comme l'envoi de pourriels. 95 Hammeçonnage (suite) D autres tentatives de traduire le mot phishing ont eu lieu Escroquerie par courriel Manque de précision ; l'hameçonnage est plutôt une tentative d'escroquerie, car il ne réussit pas àtous les coups. Pêche aux données /informations personnelles/confidentielles Plus descriptif que dénominatif. Filoutage Manque de précision ; peut désigner toute forme d'escroquerie. Usurpation d'interface Manque de précision ; l'usurpation d'interface ou d'identité (d'entreprise) n'est que l'un des moyens principaux utilisés pour effectuer un hameçonnage. 96

49 Vishing Contraction de «voix sur IP»(VoIP) et de phishing. L escroc met en place des serveurs VoIP qui composent des numéros de téléphone aléatoires. Un message enregistré incite celui qui répond à appeler un serveur local au numéro spécifié. S il appelle, on lui demande, prétendument pour l identifier, de saisir des données personnelles (comme un numéro de carte bancaire) sur le clavier de son téléphone. Cas répertoriés de vishing par l envoi de SMS. 97 DNS Pharming Le pharming est une technique de piratage informatique exploitant des vulnérabilités DNS pour récupérer les données d'une victime. Ce type d'hameçonnage permet de voler des informations après avoir attiré la victime sur un site web maquillé même si le nom de domaine est correctement saisi. Les pirates auront préalablement modifié la correspondance entre le nom de domaine et l'adresse IP. Ainsi, par exemple ne pointera plus vers l'adresse IP du serveur de ma banque mais vers un autre serveur frauduleux

50 Écrémage (Skimming) Skimming is the theft of credit card information used in an otherwise legitimate transaction. It is typically an "inside job" by a dishonest employee of a legitimate merchant. The thief can copy a victim s credit card number using methods such as a small electronic device (skimmer) to swipe and store hundreds of victim s credit card numbers. Common scenarios for skimming are restaurants or bars where the skimmer has possession of the victim's credit card out of their immediate view. 99 Écrémage (Skimming) 100

51 Cheval de Troie Un cheval de Troie dissimulé dans un programme ou un fichier permet de détourner, diffuser ou détruire des informations, ou encore d ouvrir une porte dérobée qui permettra à un attaquant de tenter de prendre à distance le contrôle d'un ordinateur. Les logiciels de partage de fichiers sont traditionnellement la principale source de diffusion des chevaux de Troie. 101 Attaques par périphérique Auto exécution (virus qui s auto exécutent à partir d un périphérique (CD, Clé USB, DVD, disque dur externe qui ont été exposés àun ordinateur contaminé) Bob prend la clé USB de Alice et la branche dans son ordinateur contaminé, met un fichier et redonne sa clé à Alice pour qu elle récupère le fichier Attaque de la clé USB «perdue» volontairement Vous seriez surpris du taux de réussite!