HackerOne est une compagnie californienne située à San Francisco qui recrute des pirates afin d’identifier et de corriger les failles dans les systèmes de sécurité informatiques de ses clients.
Patsy Walsh, grand-mère de six petits-enfants, s’est portée volontaire pour laisser deux pirates de HackerOne trouver les failles informatiques à son domicile. Le New York Times a même assuré la couverture médiatique de cette « opération hacking » chez madame Walsh, à condition que le nom de sa ville ne soit pas dévoilé, et cela pour des raisons de sécurité.
Madame Walsh ne se considère pas comme une personne « branchée ». Ses appareils électroniques et électroménagers ne sont pas à la fine pointe technologique et, bien qu’elle ait un compte Facebook, elle ne s’en sert que pour avoir des nouvelles de ses connaissances. Et bien, il n’a suffi que de deux heures aux deux pirates pour obtenir juste assez d’information sur le compte Facebook de celle-ci afin de prendre contrôle de son identité numérique… tout cela avant même qu’ils ne mettent les pieds au domicile de madame Walsh!
Premièrement, ils ont remarqué que madame Walsh avait « aimé » la page Facebook de l’organisme « Change.org » (comme vous le savez, peut-être cet organisme nous invite à signer des pétitions de nature humanitaire, et ensuite, nous inonde de courriels pour signer toutes les pétitions). C’est tout ce dont ils avaient besoin pour lui tendre un appât au moyen d’un faux courriel (rappelons-nous les chroniques sur l’hameçonnage de Michel Gagné) dans lequel Change.org demandait à madame Walsh de signer une (fausse) pétition en cliquant sur un lien qui lui demandait de fournir son adresse courriel et son mot de passe.
Pour ne pas causer de véritables dommages à l’ordinateur de madame Walsh, nos deux pirates professionnels ont utilisé Phish5, un site qui n’enregistre pas les mots de passe et qui est utilisé par certains employeurs pour tester l’habileté de son personnel à détecter les sites malicieux.
Heureusement pour madame Walsh que cette intrusion était de bonne foi car à partir de ce moment, les pirates avaient accès à toute son information numérique, d’autant plus qu’elle utilisait le même mot de passe pour toutes ses sessions en ligne.
À leur arrivée chez madame Walsh, les deux pirates en question, Reed Loden, 27 ans, directeur de la sécurité chez HackerOne, et Michiel Prins, 25 ans, cofondateur de HackerOne, il y avait un panneau en forme de cœur, sur lequel était inscrit « Bienvenue, chers pirates », à l’entrée de la porte, et de délicieux canapés et sandwiches les attendaient à l’intérieur!
Le sujet de cette chronique m’a été proposé par Michel Gagné. Les contributions de tous les bénévoles à la chronique « Sécurité » sont bienvenues. Si vous voulez soumettre un article sur la sécurité, envoyez-le à l’adresse à l’attention de Céline Dion.
Dans ce contexte là, les critères de sélection des candidats lors du recrutement doivent être les plus sévères. En fait, il faudrait savoir repéré les hackers qui partagent la même vision que celle des acteurs de la cybersécurité.
Bon point. Merci!
Un exemple vaut mille mots.
Merci Céline , toujours pertinent ces écrits que tu nous présentes.
Merci Lise,
Céline.
Au cours de ma présentation du 6 dernier, j’ai mentionné un document sur la prévention du vol d’identité publié par Option Consommateurs: http://www.option-consommateurs.org/documents/principal/fr/File/oc_guide_vol_identite_20100302.pdf J’en parlerai encore le 12 février.
Super ça Jean-Victor, notre grand spécialiste de la sécurité informatique!
Céline