Les blogs
Partagez vos faits
Une identité est volée toutes les deux secondes !
Le 4 octobre 2021, de 17h30 à minuit, Facebook vacille. Les données personnelles de 1,5 milliard d’utilisateurs de la plateforme de Mark Zuckerberg auraient été siphonnées grâce à la bonne vieille méthode de scraping.
![Une personne travaillant sur son ordinateur portable](https://images.factuel.media/JbRh2DCtS80mly2otJv0UXQ7T1Q=/3840x0/smart/filters:quality(60):max_bytes(300000)/factuel/2023/06/SIPA_01061163_000001_2.jpeg)
Une méthode : le scraping
La dernière fois nous avions abordé les sock puppets, ces fausses identités crées de toutes pièces par les cyber-attaquants pour mieux nous usurper. Voyons cette fois comment ils « scrapent ».
Mais qu’est-ce donc que cette méthode ? Le scraping signifie en français grattage, on retrouve ce petit mot anglais à travers d’autres versions comme : web scraping, screen scraping, web data mining, web harvesting, crawling, ou web data extraction. Il s’agit d’une technique d’extraction de contenu.
On peut utiliser cette méthode de façon légale, mais, pour ma part, je vais m’intéresser à la version illégitime, utilisée par les cybercriminels dans le cadre de phishing ou d’usurpation d’identité. La méthode est loin d’être récente, puisque l’un des premiers robots malveillants, qui s’appelait « Bidder’s Edge » a été repéré dans les années 2000.
Malveillance encore et toujours
Les cyber attaquants peuvent scrapper vos informations de façon manuelle ou automatique. Dans ce cas, le pirate va utiliser un bot (un robot) qui va télécharger une partie ou la totalité du contenu d’un profil sur les réseaux sociaux par exemple et en extraire de la donnée.
En quelques secondes, vos données sont récupérées, copiées et enregistrées. Ainsi, textes, images, codes HTML, codes CSS, vidéos, etc. ne vous appartiennent plus. On parle de scraping de contact lorsqu’il s’agit de voler des coordonnées comme des numéros de téléphone et des adresses e-mail.
Ces informations vont lui servir entre autres à :
- - Créer de faux comptes apparemment légitimes. Un faux compte peut être utilisé, pour tester une carte de crédit par exemple.
- - À alimenter son ingénierie sociale (ensemble de tactiques de manipulations psychologiques) pour créer des mails contextualisés (spearphishing).
« Je n’ai rien à cacher ! » ou « Il n’y a rien d’intéressant à trouver ! », des phrases que l’on peut souvent entendre. On a malheureusement...
Commentaires