Un guide complet sur le piratage éthique

 Un guide complet sur le piratage éthique

Un guide complet sur le piratage éthique En janvier 2019, près de 1 769 185 063 enregistrements d'utilisateurs sensibles ont été divulgués, ce qui a fait place au piratage éthique.

    Des attaques de piratage éthique sophistiquées ont volé des enregistrements allant des identifiants/mots de passe de 772 millions d'utilisateurs aux CV de 202 millions d'utilisateurs chinois.

Vous êtes-vous déjà demandé comment cela affecte notre société?

Le vol d'identité, le déni de services, les fermetures d'entreprises du jour au lendemain, le blanchiment d'argent, les extorsions et autres sont alimentés par de tels piratages.

Selon la dernière édition du dictionnaire Oxford, un pirate informatique est "une personne qualifiée dans l'utilisation des systèmes informatiques, souvent celle qui obtient illégalement l'accès à des systèmes informatiques privés".

La simple vérité est que lorsque le terme a été inventé, il n'y avait pas autant de négativité qui lui était associée.

Dans les années 1990, un pirate informatique était une personne qui résolvait les problèmes d'un système insatisfaisant en termes de sécurité en essayant de le percer, d'identifier le point faible et de le réparer. C'est ce que nous appelons aujourd'hui le piratage éthique.

Malheureusement, certains des pirates informatiques sont devenus avides et ont utilisé leurs compétences pour accéder à des fichiers et des réseaux sensibles et ceux-ci ont été appelés crackers.

Un pirate informatique doit avoir de bonnes compétences en piratage, donc aujourd'hui, quelqu'un qui essaie de saboter la sécurité de n'importe quel réseau sans autorisation légale est un pirate informatique.

La définition technique du piratage et les détails des Hacker Tools.

Activités d'un programmeur qualifié qui est capable de modifier le matériel informatique ou le logiciel pour l'utiliser d'une manière pour laquelle il n'a pas été développé.

Le piratage est généralement un territoire technique où des attaques dirigées par des logiciels malveillants et des ransomwares sont exécutées. Ces attaques compromettent les aspects de sécurité des réseaux, des ordinateurs, des smartphones ou de tout type d'appareil numérique.

Les attaques de piratage lancées par les cybercriminels sont motivées par un gain financier, le vol d'informations pouvant être utilisées à mauvais escient et de nombreuses autres intentions malveillantes.

Voici un bref sur les coûts de piratage pour les pays
Coût du piratage

Coût du piratage de la source – Heimdal Security
Outils de piratage

Table des matières [afficher]

Les pirates ont fait des ravages dans les réseaux publics, gouvernementaux et privés. À l'aide d'attaques d'ingénierie sociale et de publicité malveillante, un certain nombre d'autres attaques sophistiquées sont exécutées aujourd'hui pour pirater les systèmes et alimentent l'industrie du piratage de 2 000 milliards de dollars.

Les différents types d'outils de piratage utilisés sont :

Attaques par déni de service (DDoS)

Attaques de botnet

Attaques de ransomware

Attaques de virus

Vers

Pirates de navigateur

Rootkits

chevaux de Troie

Il existe un sous-ensemble de pirates informatiques qui reproduisent les tentatives du pirate informatique malveillant de s'introduire dans un réseau ou un appareil informatique, mais l'intention est bonne.

Connu sous le nom de piratage éthique, il s'agit d'un mécanisme de combat que les organismes publics et privés ont mis en place pour effectuer des tests de pénétration de leur réseau afin qu'aucun étranger n'ait accès à leurs systèmes.

Pour ce que cela vaut, selon le Bureau of Labor Statistics des États-Unis, les emplois pour les analystes de la sécurité de l'information, y compris les pirates éthiques, devraient augmenter de 28 % de 2016 à 2026.
Qu'est-ce que le piratage éthique et comment apprendre le piratage éthique ?

Un hacker éthique est une nomination par une autorité qui a la permission d'attaquer les couches de cybersécurité d'une organisation. Il s'agit d'un mécanisme de défense contre les pirates informatiques qui tentent d'accéder aux données internes ou aux couches réseau.

Avec la responsabilité de détecter et de colmater les vulnérabilités du réseau, un professionnel du piratage éthique essaie d'accéder au système comme le ferait un étranger. Il est également de la responsabilité du hacker éthique d'identifier si les pistes d'attaque peuvent être couvertes ou non.

Les informations qu'ils collectent en essayant d'attaquer un système sont analysées pour établir des moyens de renforcer la sécurité du système, de l'application ou du réseau.

En employant un pirate informatique éthique, l'empreinte de sécurité est améliorée afin que les attaques externes puissent être contournées. Du point de vue général en tant que professionnel du piratage éthique, il faut examiner :

Attaques par injection

L'injection SQL est l'un des types d'attaque les plus courants
Injection SQL

Source d'injection SQL - Veracode

Modification des paramètres de sécurité

Exposition de données sensibles

Violations des protocoles d'authentification
Perspectives d'emploi pour les personnes qui apprennent le piratage éthique

Willis Towers Watson, l'une des principales organisations de gestion des risques, les plus grandes organisations consacrent 1,7 % de leurs revenus annuels au renforcement des aspects de cybersécurité. Mais 96% des membres de leur conseil d'administration pensent que cela ne suffit pas car les menaces de cybersécurité deviennent sophistiquées.

Il y a quelques années, les hackers éthiques avaient peu d'offres d'emploi et cet outil principalement dans le secteur public. Alors que les entreprises ont reconnu l'impact croissant des professionnels du piratage éthique dans le maintien de la sécurité des réseaux, elles s'intéressent de plus en plus à savoir ce qu'est le piratage éthique.

Ainsi, davantage d'offres d'emploi et des profils mieux rémunérés sont proposés aux experts.

 les offres d'emploi en cybersécurité ont augmenté de 75 % de 2012 à 2017.

D'après les données salariales partagées par Payscale, le revenu annuel moyen d'un hacker éthique certifié est d'environ 80 074 $, selon Payscale, où le salaire de départ moyen est de 95 000 $.

D'une approche conservatrice, le salaire à travers les niveaux d'expérience varie de 50 000 $ à 100 000 $ par an et avec quelques années d'expérience supplémentaires peut aller jusqu'à 120 000 $ et plus.

Une fois que vous avez établi que vous voulez être un hacker éthique, la prochaine étape consiste à apprendre le piratage éthique.
Carrières informatiques à la croissance la plus rapide

Carrières informatiques à la croissance la plus rapide

Si vous pensez que le seul profil d'emploi ouvert pour un hacker éthique est un testeur d'intrusion, vous n'avez peut-être pas raison. Un hacker éthique certifié peut s'assurer les profils d'emploi ci-dessous :

⇒ Analyste en sécurité de l'information

Analyste de sécurité

Hacker éthique certifié (CEH)

Hacker éthique

⇒ Consultant en sécurité

⇒ Responsable de la sécurité de l'information

⇒ Testeur de pénétration

Outre les organismes gouvernementaux, les opportunités d'emploi pour les professionnels du piratage éthique ou les personnes qui apprennent le piratage éthique sont réparties entre les institutions financières, les sociétés informatiques et ITES, les entreprises et organisations en ligne, les consultants, le gouvernement, les installations diplomatiques, les installations de sécurité, les agences de sécurité, les organisations de défense, Le secteur des télécommunications, les services d'immigration, l'industrie aéronautique, les hôtels et les laboratoires médico-légaux.
Comment apprendre le piratage éthique et quelles sont les compétences requises pour être un professionnel du piratage éthique ?

Le travail d'un hacker éthique est de reproduire ou de recréer l'attaque d'un hacker black hat. Le moment venu, il est amené à analyser les protocoles de défense, les vulnérabilités de sécurité et les aspects d'ingénierie sociale d'une organisation.

Selon sa description de poste, il devait s'assurer que les murs de sécurité de l'organisation sont suffisamment sécurisés et qu'ils sont prêts à faire face à de telles attaques.
Compétences du hacker éthique

Compétences du hacker éthique Source – Gadget Pedia

Un hacker éthique doit maîtriser les langages de programmation comme C, C++, Python, Ruby et Perl. Il doit avoir une solide compréhension des applications Web telles que Microsoft, NET et PHP et doit avoir une expérience pratique des systèmes d'exploitation tels que Windows et Linux. À un niveau plus expérimenté, le pirate doit avoir une connaissance des protocoles TCP/IP tels que SMTP, ICMP et HTTP.

Une personne possédant une expérience de piratage éthique ou désireuse d'apprendre le piratage éthique doit maîtriser la gestion des bases de données et la mise en réseau et, en dehors de cela, elle doit avoir une bonne maîtrise des compétences générales et de la communication écrite.

Certaines des compétences techniques de base qu'un hacker éthique doit acquérir ou posséder sont :

Reniflage du trafic réseau

Orchestrer diverses attaques réseau

Exploiter les vulnérabilités de débordement de tampon

Injection SQL

Deviner et déchiffrer le mot de passe

Détournement de session et usurpation d'identité

Usurpation DNS

Il doit avoir des compétences en résolution de problèmes, une pensée analytique et logique et doit promettre de travailler avec intégrité.

Les responsabilités techniques d'un hacker éthique varient en fonction de la phase de processus dans laquelle il est impliqué. Le cycle de processus implique la reconnaissance, l'analyse et l'accès, le maintien de l'accès, l'effacement des pistes et la création de rapports. A différents niveaux, il peut être amené à

Travailler sur des outils de reconnaissance comme Nessus et NMAP pour analyser les ports ouverts et fermés.

Comprendre et développer des méthodologies d'ingénierie sociale.

⇒ Mener une analyse de vulnérabilité rigoureuse.

Pénétrez les systèmes de détection d'intrusion, les systèmes de prévention d'intrusion et les pare-feu.

En savoir plus sur les outils de piratage éthique à partir de cette vidéo

Comment apprendre le hacking éthique ?

Un pirate informatique éthique doit être titulaire d'un baccalauréat en informatique, en technologies de l'information ou d'un diplôme certifié en sécurité des réseaux.

Bien que de nos jours, d'autres options de diplômes qui vous permettent de postuler pour les postes de hacker éthique soient l'ingénierie électrique et électronique.

La plupart des hackers sont mal compris dans la communauté aujourd'hui, il devient donc très important de décrocher un emploi pour s'établir en tant que hacker éthique.

Il est important d'avoir étudié la programmation dans le cadre de votre programme d'études. Un pirate informatique doit connaître de nombreux langages de programmation car il doit pénétrer dans les systèmes de sécurité. En tant que hacker éthique, il faut connaître autant de langages tendance que possible.

On peut choisir de suivre un cours ou d'apprendre par soi-même les différents aspects du profil d'un hacker éthique.
Étapes de piratage éthique
Piratage éthique

Source de piratage éthique - Connaître le métier

Si vous êtes diplômé en informatique, vous avez peut-être déjà couvert certains des langages de programmation de votre programme. Le rôle d'un professionnel du piratage éthique nécessite que vous ayez une bonne connaissance des langages comme C, C++ et Java.

La plupart des systèmes d'exploitation, des bibliothèques et des frameworks sont développés en langage de programmation C, cela devient donc une condition préalable. Il est indispensable d'avoir des compétences pour un testeur d'intrusion.

 Qu'est-ce que le piratage éthique et qu'est-ce qu'un piratage éthique professionnel est tenu de faire ? Il injecte du code en utilisant la technique d'injection SQL dans la base de données pour identifier les vulnérabilités du système.

Au fil du temps, des langages de programmation plus polyvalents ont été introduits dans l'écosystème, certains rôles particuliers peuvent vous obliger à apprendre Python.

Python est un langage semblable à l'anglais et est facile à choisir. Populaire en tant que langage de script, il est utilisé pour développer des programmes où les tâches répétitives doivent être automatisées. Il gagne en popularité pour l'analyse des logiciels malveillants et donne aux pirates informatiques un avantage sur les autres.

Si vous n'êtes pas issu d'une formation en informatique et que vous souhaitez faire carrière dans la cybersécurité ou en tant que hacker éthique, il est indispensable que vous maîtrisiez certaines de ces langues pour vous donner un avantage.

Outre la connaissance des langages de programmation, il est conseillé d'opter pour une certification crédible sur la façon d'apprendre une formation professionnelle en piratage éthique.

Si vous êtes un professionnel, vous pouvez opter pour un cours en ligne certifié sur le piratage éthique le week-end pour accélérer votre pénétration du marché.
Opportunité d'emploi de piratage éthique

Les entreprises ont pris conscience du fait qu'elles doivent rester très vigilantes sur leurs aspects de sécurité en ligne. Avec la reconnaissance croissante des dirigeants, la demande d'experts compétents en cybersécurité ne cesse d'augmenter.

Certains des emplois bien rémunérés sont ceux d'un expert en cybersécurité et les professionnels du piratage éthique sont un sous-ensemble de ce profil.

Selon les données partagées par l'expert de l'industrie Palo Alto Network, les postes de professionnels de la cybersécurité dépasseront les 6 millions d'ici 2019 dans le monde entier. Un autre expert de premier plan du marché, Cybersecurity Ventures, spécule qu'environ 3,5 millions de postes en cybersécurité à travers le monde seront vacants car il existe toujours un manque de compétences sur le marché.

Les opportunités d'emploi pour les professionnels du piratage éthique se sont multipliées de manière agressive dans les institutions financières telles que les banques, qui sont toujours sous le radar des cyberattaques. Comme ces institutions subissent des pertes financières et de réputation, elles font appel à des pirates informatiques éthiques pour maintenir la sécurité de leurs clients.

Avec la pénétration d'Internet dans nos vies, les réseaux sans fil dans les lieux publics offrent un lieu de reproduction pour les pirates informatiques. Ainsi, ces endroits ont appelé les pirates éthiques à surveiller les points faibles à partir desquels les pirates pourraient entrer dans le réseau et accéder aux données sensibles du public ignorant.

Ainsi, même les hôtels, les aéroports, les salles de cinéma et d'autres espaces publics de ce type intègrent des pirates informatiques éthiques pour protéger les réseaux.

Conclusion

Enfin, les sociétés informatiques et les entreprises commerciales utilisent agressivement les compétences de professionnels du piratage éthique pour empêcher les portails et réseaux clients des attaques malveillantes. Il est tout à fait évident que l'espace de la cybersécurité offre de nombreuses opportunités d'emploi et que c'est le bon moment pour combler le déficit de compétences.

Si vous êtes un aspirant hacker éthique, saisissez l'opportunité de commencer votre carrière dans le piratage éthique, voici une liste des principales questions d'entretien sur le piratage éthique qui vous aideront à décrocher votre prochain entretien.

Si vous êtes également inspiré par l'opportunité de piratage éthique, suivez le cours sur la cybersécurité et améliorez votre carrière.

REF.:   https://www.digitalvidya.com/blog/ethical-hacking/

 

Les algorithmes sont-ils nos nouvelles divinités ?

Si l’on compare les  intelligences artificielles aux dieux du Panthéon grec, il en ressort une classification fertile qui met en lumière combien l’homme joue avec le feu en créant des algorithmes à son image, qu’il vénère tantôt et auxquels il se soumet parfois, au risque de devoir tôt ou tard les affronter.

 

Les dieux du Panthéon grec se distinguent du Dieu de la tradition judéo-chrétienne d’au moins cinq façons :

1.      Ils sont multiples et incarnent chacun une qualité (Aphrodite et l’amour, Hermès et le commerce, Apollon et la sagesse, Athéna et la prudence guerrière, Zeus et la puissance, etc.) séparément, au lieu d’être réunis à l’intérieur d’un seul dieu.

2.      Ils ont des défauts, des faiblesses, des limites comparables à celles des hommes. D’ailleurs, ils les jalousent parfois, sont tantôt injustes avec eux, tantôt trop cléments, ils couchent avec eux, enfantant par là même des demi-dieux, s’enivrent, etc.

3.      Ils sont parfaitement dépendants des hommes qu’ils manipulent, utilisent, impressionnent, envient, séduisent… pour atteindre leurs fins, souvent motivées par des passions, toutes humaines (désir de vengeance, quête de pouvoir, rébellion, relation adultérine…).

4.      Leur propre survie n’est pas acquise et ils doivent lutter sans relâche pour ne pas disparaître de la terre ou du ciel. Zeus lui-même, le plus puissant des dieux est le descendant et survivant d’une lignée de divinités décimée par les guerres intestines. 

5.      Ils sont machistes, pour ne pas dire phallocrates, et fournissent à notre culture les germes d’une inégalité homme femme qui perdure encore aujourd’hui.

Un peu d’ordre

Le numérique possède lui aussi son panthéon dans lequel, telles des divinités, les intelligences artificielles se disputent la faveur des hommes, le pouvoir, l’ascendance sur les autres intelligences ou leur propre survie…

Certaines ressemblent au dieu Zeus, en favorisant le pouvoir, en cherchant à dominer leurs concurrents à tout prix et à affirmer leur empire. On aura reconnu Page Rank de Google. D’autres font davantage penser au dieu Apollon, en se concentrant sur les compétences, la capacité des individus à tenir leur rôle, le respect des règles de vie en groupe dans son ensemble. LinkedIn figure sans doute dans cette catégorie.

D’autres, encore, se rapprochent de la déesse Athéna, en se penchant sur les résultats, l’atteinte des objectifs, la réussite individuelle. On pensera à Siri d’Apple, aux wearables ou plus simplement à l’algorithme d’Uber.

Les derniers ressemblent au dieu Dionysos, par leur tendance à privilégier la réalisation personnelle des individus, la créativité, l’enthousiasme, l’élan personnel, l’audace. Pinterest, Instagram, Facebook, TikTok en sont des archétypes.

Ni Dieu, ni maître

Tel Ulysse, nous voici condamnés à voyager et à affronter des épreuves, que les dieux mettront sur notre route, au cours d’une odyssée qui nous conduira dans une région du futur encore inconnue des hommes.

« S’il était parmi nous, Prométhée nous aurait-il donné des algorithmes ? »

Ferons-nous comme Prométhée qui se rebella contre les dieux, en donnant le feu aux hommes et en leur permettant de marcher sur leurs seules deux jambes- contrairement aux autres espèces – leurs permettant ainsi d’inventer des outils et d’intervenir sur le monde terrestre au point d’exercer une domination sur le vivant, de le façonner et à présent de le détruire. S’il était parmi nous, Prométhée nous aurait-il donné des algorithmes ?

Serons-nous punis par Dieu, comme ces peuples qui, selon la Bible, parlaient une langue commune et mirent leurs forces en commun pour construite un édifice plus grand que Dieu lui-même, la tour de Babel ? Une audace que le divin ne leur pardonna pas en détruisant la tour et en divisant les hommes en leur attribuant des langues différentes. Dieu verra-t-il dans l’intelligence artificielle qui semble vouloir recouvrir le monde, une nouvelle tour de Babel ?

La Tour de Babel vue par Pieter Brueghel l'Ancien au XVIème siècle.

Devrons-nous accepter de détruire de notre propre main ce que nous avons enfanté tel le héros Arjuna de la mythologie Indienne, qui dans le Bhagavad-Gita, le joyau de la littérature védique et la clef de voûte du Mahabharata, est en proie à un questionnement moral paralysant l’action ? Comment entrer en guerre contre sa propre famille, son propre royaume ? Le personnage de Krishna, qui sut si bien libérer Arjuna de sa torpeur, saura-t-il faire de même avec nous ?

« Saurons-nous contempler les algorithmes avec ferveur pour mieux nous en libérer ? »

Réfugierons-nous, comme les moines de la tradition Zen, dans la méditation et la lecture de Koans afin de revenir à l’essentiel et libérer nos esprits des ornières dans lesquelles la réalité se plait à les laisser s’embourber. Saurons-nous contempler les algorithmes avec ferveur pour mieux nous en libérer ?

Régulerons-nous tout le mal que nous fait l’intelligence artificielle avec des Minkondi africains, en allant planter avec violence un clou dans ces statues rituelles publiques, laissées à l’extérieur des villages congolais, chaque fois qu’une mauvaise pensée nous traverse (envie de vengeance, désir de violence, jalousie…) ? Les smart-cities, que l’intelligence artificielle ambitionne déjà de réguler, leurs réserveront-elles une place ?

Quel est le talon d’Achille de l’intelligence artificielle, des algorithmes et de ce qui les rend possible ? Peu importe. Il est préférable de comprendre que le véritable talon d’Achille, de l’homme cette fois-ci, n’est pas tant sa faiblesse originelle, mais son penchant naturel pour incessamment tenter de s’en libérer.

 

Bertrand Jouvenot

- 6 décembre 2021

 

REF.:   https://usbeketrica.com/fr/article/les-algorithmes-sont-ils-nos-nouvelles-divinites?utm_campaign=Mon%20Carnet%20-%20l%27infolettre&utm_medium=email&utm_source=Revue%20newsletter

 

 

Cookie Factory : une expérience pour prendre conscience du pistage publicitaire

Thomas Coëffé / Publié le 6 décembre 2021 à 11h07

L’Unesco propose une expérience étonnante et bien pensée pour visualiser l’impact du pistage publicitaire.

La plupart des sites web et applications récoltent des données sur leurs visiteurs. Ils les transmettent ensuite à des régies qui personnalisent les publicités. Les professionnels du web le savent, mais les internautes en ont-ils vraiment conscience ? Comprennent-ils vraiment ce qu’il se passe lorsqu’ils cliquent sur « Tout accepter » ? Pour les aider à réaliser l’impact du pistage publicitaire, l’Unesco lance une expérience ludique sur Google Chrome. Il suffit de télécharger l’extension Cookie Factory puis de choisir un persona, parmi près de 40 profils très spécifiques – vous pouvez même créer le vôtre.

Ensuite, l’extension se charge de… simuler la navigation du profil sélectionné, en mode accéléré. Vous avez choisi un hacker ? Préparez-vous à visionner des vidéos YouTube, des résultats de recherche Google et des articles sur le sujet, pendant une minute environ. Pendant ce temps, vous mangez de nombreux cookies, ces derniers contribuant à construire votre « nouvelle identité ».

Une fois la récolte des données terminée, vous pouvez à nouveau parcourir vos sites préférés sur le web. Vous prendrez alors conscience du degré de personnalisation des annonces visualisées ; des publicités sur-mesure, basées sur des cookies conçus très artificiellement. Vous pouvez quitter l’expérience à tout moment et retrouver vos données d’origine (cookies, favoris, historique de navigation, etc.).

Bonjour hacker cracker, comment allez-vous aujourd’hui ? © Capture de Cookie Factory (Unesco)

Avec cette expérience, l’Unesco réussit à expliquer un phénomène complexe par l’exemple. Pour aller plus loin, les internautes intéressés par les impacts du ciblage publicitaire, et par les mécanismes associés basés sur l’intelligence artificielle, peuvent accéder à du contenu pointant du doigt les risques liés à ces technologies. Vous pouvez notamment consulter les recommandations de l’Unesco à ce sujet.

 

REF.:   https://www.blogdumoderateur.com/cookie-factory-experience-unesco/?utm_campaign=Mon%20Carnet%20-%20l%27infolettre&utm_medium=email&utm_source=Revue%20newsletter

 

 

TikTok : un document interne révèle de nouveaux détails sur son algorithme

06 décembre 2021

・ Par Kesso Diallo

Inquiet de la promotion de contenus « tristes » susceptibles de provoquer l’automutilation, un employé a partagé le document avec le New York Times.

Application la plus téléchargée dans le monde en 2020, cap du milliard d’utilisateurs dans le monde récemment franchi… La popularité de TikTok est évidente. Ce n’est pas le cas du fonctionnement de son algorithme. Le New York Times offre de nouvelles informations à ce sujet, après avoir pu consulter un document interne. Nommé TikTok Algo 101, il indique que le réseau social se base sur une équation pour recommander des vidéos aux utilisateurs. « Le système de recommandation attribue des scores à toutes les vidéos en fonction de cette équation et renvoie aux utilisateurs les vidéos avec les scores les plus élevés. »

Dans cette formule mathématique, une prédiction fondée sur l’apprentissage automatique est associée au comportement réel de l’utilisateur pour les goûts, les commentaires et la durée de lecture. Le document indique aussi que l’entreprise a choisi d’optimiser son système pour le « temps passé » sur l’application et la « fidélisation », soit le fait qu’un utilisateur revienne sur la plateforme, dans son objectif d’ajouter des utilisateurs actifs. Autrement dit, elle souhaite garder les utilisateurs le plus longtemps possible.

La promotion de contenus néfastes

Par le passé, TikTok a déjà donné quelques détails concernant le fonctionnement de son système de recommandation. En janvier 2020, l’entreprise expliquait, dans un communiqué, que les contenus étaient recommandés selon plusieurs facteurs. Parmi eux, figurent les interactions d’un utilisateur (vidéos aimées ou partagées, commentaires…) ou encore les informations d’une vidéo telles que les légendes, les sons et les hashtags.

Certains ont par ailleurs essayé de comprendre l’algorithme du réseau social. Dans cet objectif, le Wall Street Journal a récemment créé plus de 100 comptes automatiques qui ont regardé des centaines de milliers de vidéos sur l’application. Le quotidien américain a ainsi découvert que TikTok prenait en compte le temps passé sur une vidéo pour proposer des contenus que l’utilisateur souhaite regarder. Un processus susceptible de conduire les utilisateurs à voir des contenus dérangeants. Le Wall Street Journal a en effet indiqué que des vidéos incitant des troubles alimentaires ou traitant du suicide ont été recommandées à certains comptes.

Des révélations concordant à la raison pour laquelle un employé de TikTok a décidé de partager le document interne. Le New York Times explique que ce dernier l’a fait car il a été perturbé par la promotion de contenus « tristes » par l’application, qui pourrait provoquer l’automutilation.

 

REF.:   https://leclaireur.fnac.com/article/52310-tiktok-un-document-interne-revele-de-nouveaux-details-sur-son-algorithme/?utm_campaign=Mon%20Carnet%20-%20l%27infolettre&utm_medium=email&utm_source=Revue%20newsletter

 

Cybersécurité : les réseaux sociaux comme porte d'entrée pour cibler les entreprises

Chronique de Raj Samani

McAfee

  Mis à jour le 06/12/21 15:45

Les réseaux sociaux font partie de notre quotidien. Que ce soit pour suivre les querelles entre célébrités, garder le contact avec des amis, ou pour chercher un emploi. Par ailleurs, nombreux sont ceux qui, dans la course aux likes, acceptent sur les réseaux de parfaits inconnus.

Les acteurs malveillants le savent, et des cadres ont été ciblés par de fausses promesses d'offres d'emploi émanant de groupes de menaces spécifiques. Il s’agit en effet de la méthode la plus efficace pour contourner les contrôles de sécurité traditionnels, et les hackers peuvent ainsi communiquer directement avec leurs potentielles victimes dans les entreprises ciblées.

Cette approche n’est pas nouvelle, mais elle est de plus en plus fréquente. Bien que la mise en place de faux profils requière plus de temps que la simple recherche d'une faille sur Internet, cibler des individus s'est avéré être un excellent procédé. Cela laisse à penser que l'utilisation de ce vecteur pourrait se développer non seulement par les groupes d'espionnage, mais aussi par d'autres acteurs de la menace cherchant à infiltrer des organisations pour leur propre profit criminel.

Impact potentiel et implications

Les conséquences et les implications potentielles pour un dirigeant ou une entreprise dont les réseaux sociaux ont été ciblés par des acteurs de la menace sont infinies. Il est par ailleurs notable que certains groupes d'États-nations utilisent des sites comme LinkedIn pour cibler des cadres, notamment des secteurs de la défense et de l'aérospatial. Depuis trop longtemps, les utilisateurs acceptent des connexions sur LinkedIn pour élargir leur réseau et depuis, les acteurs de la menace l'utilisent à leur avantage en créant des profils ressemblant à ceux de recruteurs légitimes. En suscitant l'intérêt d'un cadre et en gagnant sa confiance, ils peuvent alors le convaincre de télécharger une annonce d'emploi qui s’avère être un logiciel malveillant. S’il est surtout répandu sur Linkedin, ce type de d’attaque peut également être mené sur d’autres réseaux sociaux comme Twitter ou Instagram.

Techniques et tactiques

Auparavant, les faux profils sur les réseaux sociaux étaient relativement faciles à repérer, mais si l’on prend l’exemple la Corée du Nord (RPDC), les cybercriminels ont investi plus de temps dans la création de profils, dans leur immersion dans le milieu de l’infosécurité, dans l'acquisition d’abonnés et de connexions via LinkedIn, rendant la détection des comptes frauduleux plus difficile. Ainsi, lorsque les acteurs malveillants utilisent les réseaux sociaux, ils emploient des techniques et des tactiques que l'on retrouve dans le monde réel. Ils effectuent toutes les recherches nécessaires sur les types d'emplois qui pourraient intéresser leurs cibles, les incitant notamment à télécharger un contenu malveillant.

Les limites de la régulation

Nous vivons dans un monde régi par les réglementations, les territoires et les juridictions. Ainsi, pour tenir un acteur malveillant pour responsable, il est impératif de disposer de preuves numériques. Or, la réglementation de certains territoires ne permet pas d’y mener des enquêtes numériques, tandis que les traités d’extradition n’existent pas dans d’autres. Quand un état est tenu de respecter les règles, il n’en est pas de même pour les cybercriminels qui peuvent poursuivre leurs comportements malveillants sans aucune conséquence. Si bien que malheureusement, la cybercriminalité n’est pas répudiée. Les acteurs malveillants peuvent alors nier toute responsabilité et s'en tirent sans aucune condamnation.

L’importance de la prévention

La cybercriminalité sera toujours un problème et il est nécessaire que chacun soit davantage conscient des techniques et tactiques des cybercriminels. Il faut poursuivre le combat face aux acteurs malveillants, continuer de protéger les données déjà récoltées, mais surtout de créer du contenu à la disposition des RSSI et des dirigeants pour qu'ils sachent identifier les menaces et = réagir s’ils sont pris pour cible.

 

REF.:   https://www.journaldunet.com/solutions/dsi/1507239-cybersecurite-les-reseaux-sociaux-comme-porte-d-entree-pour-cibler-les-entreprises/?utm_campaign=Mon%20Carnet%20-%20l%27infolettre&utm_medium=email&utm_source=Revue%20newsletter