Ce puissant nouveau moteur de “recherche de visages” pourrait être un cauchemar en matière de protection de la vie privée

La société de cybersécurité Trustwave a publié un outil open source pour trouver les comptes de grands volumes de personnes sur les plateformes de médias sociaux en faisant correspondre automatiquement les noms et les photos de profil.

This powerful new “face search” engine could be a privacy nightmare

Selon l’entreprise, l’outil, appelé Social Mapper, est conçu pour les testeurs d’intrusion qui souvent hameçonnent les employés des entreprises clientes pour tester les mesures de sécurité et avoir accès à des ordinateurs. En montrant comment les attaquants réels peuvent convaincre les travailleurs d’abandonner leurs identifiants de connexion aux fraudeurs, les testeurs peuvent aider les entreprises à mettre en place une formation et des contre-mesures techniques pour rendre ces attaques moins réalisables.

“L’outil est essentiellement né d’une nécessité “, explique Karl Sigler, responsable du renseignement sur les menaces chez Trustwave. “Au fil des ans, nous avons découvert qu’une grande partie des compromis et des brèches dans lesquels nous nous sommes engagés, en général l’empreinte initiale, provient d’une attaque d’ingénierie sociale.”

Les utilisateurs de Social Mapper fournissent leurs propres identifiants de connexion à divers réseaux sociaux, ainsi qu’un fichier spécifiant les noms et les images faciales des personnes qu’ils souhaitent cibler. L’outil se connecte ensuite à des réseaux sociaux spécifiques tels que Facebook, LinkedIn, Instagram, VKontakte et Weibo et utilise les outils de recherche des sites et les outils de reconnaissance faciale open source pour trouver et enregistrer les correspondances possibles. Une fois qu’ils ont trouvé des correspondances, ils peuvent soit se lier d’amitié avec les utilisateurs des sites de médias sociaux et leur envoyer des liens d’hameçonnage, soit utiliser les données des sites pour créer des courriels d’hameçonnage personnalisés, suggère Jacob Wilkins, chercheur de Trustwave, dans un article de blog.

“Recueillir toutes ces informations nous permet de créer des lettres de spearphishing très convaincantes si vous voulez,” dit Sigler.

Trustwave a déjà utilisé l’outil dans son travail de pénétration pour éliminer la recherche manuelle fastidieuse sur les médias sociaux, selon le post.

“Ce n’est vraiment pas si complexe – nous n’utilisons pas d’API “, explique M. Sigler. “Il suffit d’avoir un compte sur ce réseau social et d’accéder aux données publiques.”

Néanmoins, l’outil a soulevé certaines préoccupations quant à savoir s’il pouvait être utilisé à des fins malveillantes ou pour violer la vie privée des gens.

“Un tel outil peut permettre à quelqu’un d’obtenir des informations sur les utilisateurs de médias sociaux que ces utilisateurs ne s’attendent pas à voir tomber entre les mains d’un tiers “, explique Matt Cagle, avocat spécialisé dans la technologie et les libertés civiles à l’American Civil Liberties Union of Northern California. “Il est très important que les gens derrière les outils réfléchissent à la responsabilité qu’ils ont de s’assurer que ces outils ne sont pas mûrs pour une mauvaise utilisation.”

De nombreux réseaux sociaux rendent les informations de profil comme les noms et les photos de profil visibles par défaut, explique M. Cagle. Facebook a récemment pris des mesures pour limiter le grattage automatisé des comptes sur le site en désactivant une fonction qui permettait aux utilisateurs de rechercher des amis potentiels par adresse électronique ou numéro de téléphone, après avoir découvert qu’elle était utilisée pour recueillir systématiquement des données de profil public sur de nombreux utilisateurs du service. La société est en contact avec Trustwave au sujet de Social Mapper, a déclaré un porte-parole.

“Nous nous tournons vers l’équipe de Social Mapper pour discuter de son outil et renforcer l’importance du respect de nos conditions de service “, a déclaré le porte-parole dans un courriel à Fast Company. “Pour être clair, l’utilisation d’outils automatisés pour gratter le contenu va à l’encontre de nos politiques visant à protéger les gens sur Facebook.”

Leave a Reply

Your email address will not be published. Required fields are marked *