23/05/2012

« Hi, someone is saying really bad things about you »

Spams sur Twitter : d'où vient ce DM relou qui pollue le réseau social ?

Par Thomas Arnaud-Deguitre

StreetPress a remonté la piste du spammeur du moment sur Twitter, celui qui nous fait croire que des gens bavent sur notre dos en notre absence (quelle idée). Rassurez-vous : l'homme n'a rien d'un expert et le spam ne transmet aucun viru

Vous avez peut-être reçu sur Twitter ces dernières semaines un DM, un message privé vous annonçant (le plus souvent en anglais) que «quelqu’un dit des choses désagréables à propos de [vous], regarde.» C’est bien sûr un fake – est-ce que quelqu’un va se tanner à vous balancer un tweet privé pour balancer ce qui se passe dans votre dos ? Non. C’est juste une belle arnaque.

C’est quoi ce spam ? Il s’agit en réalité d’une escroquerie de type phishing classique. Sortons le pokédex pour en savoir plus sur cet animal : « le phishing, ou hameçonnage, est un technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité. La technique consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance. »

En cliquant sur le lien que votre « pseudo pote » vous a fourni, vous arrivez le plus souvent sur une page d’accueil factice de Twitter, qui vous incite à vous connecter avec vos identifiants habituels pour voir les terribles «rumors about you». Une fois les informations récupérées par le petit malin, le message est envoyé à tous vos contacts, et ainsi de suite. Autant dire que cela peu rapidement faire des ravages.

Est-ce que c’est dangereux ? Non. Après avoir démasqué l’arnaque en trois secondes, Félix, expert en sécurité des systèmes d’informations et en cybercriminalité, explique : « il n’y a aucun script malveillant sur cette fausse page Twitter – intitulée twititre.com. Elle est l’œuvre de quelqu’un n’ayant pas beaucoup de connaissances dans ce domaine. Ce n’est pas un virus. »

Autre indice qui montre que le pirate en herbe n’est pas un expert : le site Internet twititre.com est basé sur un serveur hébergé en Chine – où résident d’ailleurs d’autres sites dans le même style. Son adresse mail est visible, et elle se termine en… @hotmail.com. Plus traçable qu’hotmail, tu meurs. Ceci dit, puisque le pirate est installé en Chine, il sait que, de toute façon, il ne risque rien.

A quoi ça sert ? Si ce spam n’est a priori pas nocif pour votre ordinateur, il est tout de même dangereux pour votre vie privée. Voici deux hypothèses de ce que le Jack Sparrow du microblogging pourrait faire de vos identifiants :

> les revendre à des pirates plus méchants qui constitueront une base de données valant de l’or pour certaines entreprises ou autres hackers.

> où si c’est une sadique, supprimer votre compte et vous espionner, par pure gratuité

> Vérifiez que l’adresse e-mail de votre compte n’a pas été modifiée.

> Si votre compte est victime de l’envoi de messages phishing, visitez l’onglet Applications dans les “Paramètres du compte”, et révoquer l’accès à toute application tierce que vous ne reconnaissez pas.

Il n’y a aucun script malveillant sur cette fausse page Twitter. Elle est l’œuvre de quelqu’un n’ayant pas beaucoup de connaissances dans ce domaine.

Pourquoi Twitter est devenue une usine à spams ? Les réseaux sociaux sont de plus en plus visés par les spammeurs. Selon plusieurs études, 40 % des comptes créés sur Facebook, Twitter et autres sont utilisés pour le spam. C’est ce qu’on appelle le spam social. « Il peut être bien plus efficace que le spam par e-mail » explique Romain Rissoan, auteur du livre Les réseaux sociaux. Comprendre et maîtriser ces nouveaux outils de communication. « Lorsque vous recevez un e-mail d’une adresse que vous ne connaissez pas, vous êtes vigilant. Alors que sur les réseaux sociaux, vous pensez être en univers sécurisé, avec des personnes que vous connaissez. Vous n’avez donc pas peur de cliquer sur n’importe quel lien qu’un ami vous envoie. »

Quelles sont les solutions envisagées ? D’après une étude d’Impermium, un éditeur de logiciel de sécurité, 8 % des messages transitant sur les réseaux sociaux sont du spam. En avril dernier, le site s’inquiétait déjà de ces arnaques. Les responsables avaient alors publié un post sur leur blog expliquant le problème et les solutions :

« Nos ingénieurs continuent de combattre les efforts des spammeurs pour contourner nos protections, et aujourd’hui nous ajoutons une nouvelle arme à notre arsenal : la loi. Vous pouvez nous aider, aussi, en signalant et en bloquant les spammeurs que vous rencontrez sur Twitter. »

Twitter a donc déposé plainte devant un tribunal fédéral de Californie contre cinq fournisseurs de spams. Comme Facebook et Yahoo, Twitter espère obtenir des condamnations suffisamment lourdes pour décourager les spammeurs. Romain Rissoan anticipe :

« A terme, on espère avoir une solution simple et efficace pour combattre ces publications dont vous n’êtes pas maître. Il s’agit de la gestion multi-comptes, c’est-à-dire établir une seule porte d’entrée, ultra sécurisée, qui vous donnera un accès à tous vos comptes. Google le fait déjà pour l’ensemble de ses services. »

Selon lui, il faudrait également pourvoir décider par nous-mêmes sur quels supports (ordis, smartphones…) nos comptes pourraient être accessibles. Par exemple, si je n’ai autorisé que mon ordi perso à accéder à mon compte Twitter, ni moi ni personne ne pourrait y accéder via un autre ordi. « Seul vous êtes autorisé à rajouter d’autres supports » sur lesquels vous pourrez naviguer où vous le souhaitez.

Une cause perdue ? Felix, lui, est un peu perplexe. La sécurité est un peu une cause perdue selon lui : « il existera toujours des failles sur les réseaux sociaux permettant de publier des choses à l’insu des utilisateurs ou des failles dans les applications utilisées sur ces réseaux sociaux. La gestion multi-comptes est plus liée à l’ergonomie de la navigation de l’internaute qu’à la sécurité. C’est pratique, mais dangereux car si tu récupères le mot de passe ou la session active de quelqu’un tu accèdes à toute sa vie sur le net. »

8 % des messages transitant sur les réseaux sociaux sont du spam.

bqhidden. il existera toujours des failles sur les réseaux sociaux permettant de publier des choses à l’insu des utilisateurs