Deux billets à propos de Facebook. Tous deux publiés sur des blogs dépendant d’éditeurs d’antivirus. Et tous deux traitants du pouvoir de crédibilité que les réseaux sociaux apportent aux attaques en social engineering … si c’est sur Facebook, c’est forcément vrai.
Le premier est signé par François Paget, et traite d’une de ces nombreuses escroqueries au « job en or » qui ne demande qu’un léger investissement de 2,97 $… une somme qui, en fait, est une sorte de blanc seing donnant le droit au prétendu apporteur d’affaires de prélever chaque mois 93 $ sur le compte de la victime. Et cette sorte d’abonnement au succès peut être interrompue sur simple appel téléphonique, encore faut-il avoir la chance d’entendre quelqu’un décrocher pour prendre l’appel. Rien là que de très classique, dira-t-on, car de tels chalutiers à gogos écument les océans du Web et de l’email depuis quelques décennies. Mais le Web Deuzéro, nous indique François Paget, offre l’avantage d’afficher haut et clair l’ampleur de chaque buzz, la portée de chaque escroquerie. Dans le cas de ces illusionnistes du travail à domicile, plus de 268 000 « membres » se sont inscrits pour suivre l’actualité de ce Facebookemaker faisandé… 268 000 crédules drainés en moins de deux semaines.
Même histoire du côté de F-Secure. Sean est parti enquêter sur les résultats de fréquentation d’un spam tapageur utilisant les vieilles ficelles de la presse à scandale. En moins d’une demi-journée, 140 000 personnes avaient cliqué sur le lien incitatif. Pis encore, près de la moitié des personnes tombées dans ce piège aussi grossier que vulgaire ont également activé la fonction « Accéder à mes informations publiques, nom, profile, liste d’amis et autres aspects publics de mon profil ».
Ces deux métriques apportent aux responsable sécurité un début de réponse, une estimation aisément vérifiable sur les « taux de retour » des attaques en ingénierie sociale en usage sur Internet. Jusqu’à présent, l’ampleur du phénomène était relativement mal appréciée, puisque dépendante des publications d’éditeurs de logiciels de protection ou d’équipementiers, à la fois juge et partie. C’est ainsi que les « bugs du siècle », « virus mondiaux » et « botnet titanesques » s’avéraient parfois aussi vertigineux qu’une taupinière, aussi dangereux qu’une charge de gastéropodes. Facebook, c’est l’énormité en plus et le « FUD » en moins… du moins pour ce qui concerne les métriques de consultation, et tant que les administrateurs du site n’auront pas compris qu’il est possible de faire de l’argent avec ce genre de données.