Sécurité : les failles du web 2.0

Comme nous l'avons abordé précédemment, la première faille du web 2.0 est l'absence de vigilance de l'utilisateur. Nous ne souhaitons pas dépeindre un monde où l'on devrait voir en chaque « cybervoisin » un criminel potentiel mais derrière les problèmes de confidentialités évoqués plus haut, il y'a des problèmes de sécurité liés aux technologies utilisées par ces sites. Parmi les entreprises de sécurité informatique qui se sont penchées sur le problème, on trouve Trend Micro, qui a récemment publié une étude sur le sujet.

Le web 2.0 ne change pas la donne : les failles de sécurité existaient déjà avant MySpace ou Facebook. Selon Loucif Kharouni, chercheur chez Trend Micro, « il' s'agit d'un nouveau vecteur. Les méthodes ne changent pas fondamentalement, mais les cybercriminels profitent de la popularité de ces sites pour diffuser leurs logiciels malveillants » . De la popularité, mais également des failles de sécurité inhérentes aux sites, et notamment à leur statut de bêta permanente.

En effet, selon Trend Micro, deux caractéristiques de ces sites sont assez alarmantes au niveau de la sécurité : d'une part, ils sont basés sur des technologies en perpétuelle évolution, et qui sont donc loin d'être infaillibles, et d'autre part, ces sites laissent à l'utilisateur une grande liberté d'action pour publier son contenu. Là encore, c'est une avancée en théorie, mais en pratique cette liberté ouvre un boulevard aux développeurs de logiciels malveillants.

XSS et XRSF : deux types d'attaque ciblant les sites 2.0

En guise d'exemple, Trend mentionne les attaques de type XSS (cross site Scripting), là encore pré-existantes au web 2.0 mais ciblant notamment celui ci. Une attaque XSS permet d'injecter du code dans une page web existante, afin d'exécuter du code malveillant. Un exemple concret, dans le cadre des sites web 2.0 est le ver Samy, créé par un adolescent du nom de Samy Kamkar. Ce ver a affecté le site MySpace fin 2005. L'auteur hébergeait, sur son profil MySpace, des scripts permettant d'ajouter automatiquement tous les utilisateurs qui visualisaient son profil à sa liste d'amis et vice versa, en contournant la validation nécessaire en temps normal. Pour la petite histoire, Samy Kamkar est par la suite devenu l'objet d'un culte sur le net, des t-shirts ayant même été fabriqués à sa gloire.



L'attaque de type XSRF (Cross Site Request Forgery) utilise une technique proche de l'attaque XSS mais l'associe à l'ingénierie sociale. Il s'agit d'une attaque ciblée, reposant sur l'absence de vigilance des utilisateurs. Par exemple, un cybercriminel va se lier avec un utilisateur via un réseau social, se renseigner sur ses habitudes ou ses sites de prédilection, et utiliser ces informations pour cibler son attaque.

Selon Trend Micro, les méthodes d'ingénierie sociale afin de pénétrer ce que l'éditeur définit comme le « cercle de confiance » sont multiples et font appel à des leviers tels que la vulnérabilité, l'autorité ou les centres d'intérêts : recommandation d'un docteur, conseils boursiers ou encore photos de vacances.



L'éditeur cite une étude de cas réalisée et vérifiée par Security Partners. Celle-ci met en scène l'utilisateur d'un site de courtage amateur de réseaux sociaux. Une personne qu'il a ajoutée à sa liste d'amis, qui s'avère être un cybercriminel, noue contact avec lui, et apprend qu'il fréquente également un site d'actualités sportives, tout en laissant sa session de courtage ouverte pour y passer ses ordres.

Le cybercriminel va alors envoyer à notre utilisateur un lien vers une actualité de son site sportif de prédilection. En réalité, cette page est une page frauduleuse contenant du code dissimulé dans un cadre iFrame (une page HTML cachée dans la page principale). Ce code va cibler le site de courtage pour récupérer les identifiants de connexion. Une fois connecté au site de courtage, le cybercriminel peut y passer tous les ordres possibles.