Pour vos données Facebook, la vraie menace ne vient pas forcément des personnes que l’on croit !

Posté par christophe le 21 mai 2010 dans BONUS et Actualités, culture numérique17 commentaires

Eric Dupin, l’animateur de Presse Citron, « le blog geek et hightech de référence « , a signé le 18 mai 2010 un billet relevant la complexité d’utilisation de Facebook pour les  internautes non avertis. Il constate que ces néophytes, type « monsieur Toutlemonde et sa femme madame Michu »,  ignorent totalement les risques qu’ils prennent en inscrivant leurs données personnelles sur ce réseau social et semblent même s’en moquer éperdument. Pour qu’ils prennent conscience des dangers qui les menacent, Eric Dupin leur propose d’utiliser un outil baptisé Profile Watch (dont nous mettons pas le lien hypertext pour des raisons qui vont devenir évidentes) qui permet d’établir grâce à une analyse fine des paramètres de leur profil facebook leur véritable niveau de confidentialité, lequel démontre dans la plupart des cas toute la fourberie et la perversité de Facebook car les informations que le grand public – crédule – croyait protégées, ne le sont en fait pas du tout. Comble du professionnalisme du site, l’analyse du profil abouti à une note : un score de confidentialité.

Eric Dupin va jusqu’à guider les internautes dans leur première approche du logiciel en leur proposant une traduction française des consignes : d’abord se connecter à Facebook [la plupart des gens demandant de mémoriser leur identifiant + mot de passe de connexion, ils ont de moins en moins  conscience qu'ils sont connectés à  une page protégée par mot de passe - NDLR]. Cliquer sur l’onglet mon profil. Copier l’adresse url [de cette page privée - NDLR] et coller le tout dans le champ prévu à cet effet sur le site Profilewatch.org, un site dont on ne sait rien, dont l’auteur du post ne dit rien (Quel usage fera ProfilWatch.org de cette adresse url ? Eric Dupin le sait-il seulement ?).  Vous l’avez compris,  le tour est joué, vous venez de vous faire siphonner les informations privées de votre profil Facebook. La faute en revient-elle exclusivement au réseau social ou bien faut-il aussi montrer du doigt ces journalistes qui entretiennent l’actuelle psychose à propos de Facebook sans rien comprendre à ce qu’ils écrivent, ces pseudo-spécialistes qui conseillent les pires bêtises à leurs lecteurs, se faisant ainsi les supplétifs zélés  des nouveaux « saigneurs » du web, à savoir ces ingénieurs sociaux qui utilisent leurs connaissances de l’humain (peur, incrédulité, ignorance, isolement…) pour se faire ouvrir, en douceur et à moindre frais, les portes qui leur étaient fermées.

Rappelons tout de même que le site Presse Citron est réputé être consulté par 15 000 visiteurs uniques/jour au compteur, pour 1 million de pages vues par mois. A supposer que son lectorat, confiant, suive la démarche qu’il préconise, ça fait peur pour la sécurité de nos données personnelles !  Et que dire de celles des enfants, poussés par  leurs parents lecteurs de Presse Citron à se « scorer » sur Profilewatch (ou l’un des sites équivalents qui se répandent). Comme la plupart des gosses – contrairement à ce qu’affirment les mêmes pseudo-spécialistes – ne maîtrisent pas vraiment ces technologies, ils risquent fort de céder aux injonctions parentales armées des meilleures intentions. Mais justement l’enfer numérique est pavé des meilleures intentions.

Qu’on soit clair, nous sommes tous susceptibles de nous faire piéger par un bon ingénieur social, ingénieux en diable comme il se doit. Le seul antidote, en être bien conscient et ne pas prendre de trop haut les « madame Michu » et leur ignorance crasse de la technologie, enfin et peut-être surtout, prendre avec circonspection et se méfier des bons conseils des geeks et autres utilisateurs intensifs plus enclins à essayer un nouvel outil ou un nouveau site et à le commenter qu’à réfléchir à son utilité et ses conditions d’utilisation paisible.

Tags:
$trackbacks = 0;

17 commentaires

» Flux RSS des commentaires
  1. [...] This post was mentioned on Twitter by Michel Guillou and chris DESHAYES, chris DESHAYES. chris DESHAYES said: Comment se siphonner ses données Facebook ? En suivants certains conseil pardi ! http://bit.ly/ad3iMD #FB [...]

  2. « Cliquer sur l’onglet mon profil. Copier l’adresse url [de cette page privée - NDLR] et coller le tout dans le champ prévu à cet effet sur le site Profilewatch.org, un site dont on ne sait rien, dont l’auteur du post ne dit rien (Quel usage fera ProfilWatch.org de cette adresse url ? Eric Dupin le sait-il seulement ?). Vous l’avez compris, le tour est joué, vous venez de vous faire siphonner les informations privées de votre profil Facebook. »

    Ca me semble complètement fantaisiste.. Le site n’a pas les login du compte ni le cookie de connection. Il va donc se retrouver avec les informations publiques et non privées..

    Je pense que vous n’avez pas vraiment compris le but de la manip et que, au contraire, vous participez à la psychose ambiante…

  3. Certes les mecs du genre Dupin peuvent souvent dire d’énormes bêtises, mais essayer de le critiquer en disant des bêtises encore plus grosses ce n’est pas la bonne piste :)

  4. Bonjour,

    Je n’aime pas lu l’article d’Eric DUPIN

    J’aime bien le genre d’article ci-dessus : « dont nous mettons pas le lien hypertext pour des raisons qui vont devenir évidentes » puis un peu plus tard : Quel usage fera ProfilWatch.org de cette adresse url ?

    Faites ce petit test et arrêtez de (faire) croire n’importe quoi :
    prenez un nouveau PC fraichement installé (ou plus simplement : utilisez IE 8 et le mode de navigation en privé) puis rendez vous sur http://www.profilwatch.org

    Qui se moque de qui ?


    Thierry

  5. Mon site est très loin d’avoir la dimension de Presse Citron, mais j’ai moi aussi fait circuler cette URL parmi mes membres et mes amis, Je pense qu’elle est totalement inoffensive. Je m’explique :

    Profilewatch ne demande pas les identifiants de votre compte facebook. Il demande simplement l’URL de votre compte, afin de repérer son identifiant. À partir de cet identifiant, il vont faire des recherches sur toutes les données qui sont rendues publiques sur facebook. Il n’y a aucun accès aux données privées, car on ne fournit pas de mot de passe.

    Donc, en résumé, la seule donnée que récolte véritablement ProfileWatch est votre URL facebook. Si votre compte est bien sécurisé, ils ne pourront rien faire de plus. Si votre compte est mal sécurisé, ils auront accès à toutes les données qui sont accessibles par Google, aucune de plus, aucune de moins.

    C’est extrèmement simple de faire un aspirateur qui engrange autant de données personelles que ProfileWatch sans demander aucune intervention des utilisateurs. Les URL des profils facebook sont en effet très souvent disponibles sur google. Si vous avez envie d’avoir tous les URL de tous les comptes des Jacques qui sont sur facebook, rendez vous ici :http://bit.ly/c74taZ

    L’URL de votre profil facebook n’est pas une donnée personelle, et ProfileWatch n’est pas un instrument dédié à récolter des données. Je continuerai à le conseiller.

  6. La psychose d’une part et les certitudes d’autres part sont les meilleurs ami du « social engineering »: cette méthode à la Arsène Lupin qui consiste à se faire donner ce que les gens n’auraient jamais donné, sans violence, sans même que la plupart ne s’aperçoive de la disparition de ce qui a été dérobé et ce d’autant plus sûrement que dans le monde numérique, on possède encore ce que quelqu’un a copié à l’identique. Bienvenue dans un monde de Geeks… Pauvre Madame Michu, comment va-t-elle s’y retrouver ?

  7. Bonjour,
    Félicitations pour votre article qui interpelle et qui informe… En essayant de faire réfléchir, interpeller, rendre plus clairvoyants celles et ceux qui auront la chance de vous lire.
    J’ai moi même pu constater récemment que ces comportements connus et reconnus (comme par exemple le fait de buzzer sans réfléchir) sont toujours bien présents dans nos sociétés.
    Quoique nous fassions, nous resterons devant des dilemmes, et on sait que tout ça n’est pas si simple… : http://fr.wikipedia.org/wiki/Dilemme
    Bon courage à tous,
    Au plaisir,
    Marc

  8. Merci.
    N’oublions pas la maxime prêtée à Guillaume d’Orange : « il n’est pas nécessaire d’espérer pour entreprendre, ni de réussir pour persévérer ».
    Bon courage également,
    Christophe

  9. OK. Très bien, mais Eric, il répond quoi, à ça ?

  10. Moi quand je me connecte quelque part avec un identifiant et un mot de passe, j’ai l’impression que l’espace dans lequel j’entre est un espace protégé, donc privé. Je ne vois pas comment on peut conseiller de faire venir quelqu’un de totalement inconnu derrière cette protection (mot de passe + identifiant). C’est une simple question de principe. Un principe de bon sens que Monsieur Toutlemonde et Madame Michu connaissent très bien eux.
    Pourquoi Profilewatch.org demande-t-il à se connecter à une url protégée puisqu’il ne fait que rassembler les infos disponibles sur Google ? Il n’a qu’à faire comme Google !

  11. Salut
    commande par écrire déjà le bon nom du site webprofilewatch.org/ et pas ProfilWatch.org

    pffffffffffff

  12. Bonjour,
    Vous avez raison d’être vigilants et de soulever cette question, on n’est jamais trop prudent avec ses données personnelles sur le web, je n’ai pas la science infuse et il m’est aussi arrivé de me faire piéger. Cependant concernant ce site, je ne crois pas qu’il représente un danger quelconque, mais au contraire un moyen simple de tester et mieux protéger la confidentialité de ses données sur Facebook.
    La meilleure explication est fournie par Johnny Pop (commentaire #5) : l’url que l’on fournit à ProfileWatch est l’url publique de son profil Facebook (dans mon cas http://www.facebook.com/ericdupin) soit quelque-chose que tout le monde peut trouver avec une requête simple sur Google : http://bit.ly/cFgXTs
    Contrairement à ce que vous indiquez il ne s’agit donc pas d’une donnée privée. Le site se contente ensuite de faire avec ce qu’il a, c’est-à-dire pas grand chose, afin d’en déduire les données qu’il *ESTIME* être confidentielles ou pas.
    Si j’avais eu le moindre doute sur ce service je n’en n’aurais pas fait un article, ou alors pour dissuader les internautes d’y aller.
    Je vous invite à poster vos doutes argumentés en commentaire de mon article.
    Cordialement,
    Eric
    Presse-citron

  13. En réponse à Eric DUPIN :

    Le rapport annuel Symantec sur la sécurité qui fait office de référence dans le domaine est accablant et dénonce à la fois les faux outils (ex. faux antivirus…), le développement des techniques d’ingénierie social (qui exploite la bonne foi des individus) et la nouvelle cible (les données personnelles Facebook).

    En conséquence, les spécialistes du piratage de données utilisent toutes les ruses possibles et ont besoin d’installer la confiance.
    La seule méthode utilisable par ceux que vous appelez Monsieur Toutlemonde et Madame Michu ne peut pas s’articuler sur des arguments techniques mais sur des arguments de bon sens.

    Leur conseiller d’utiliser un outil qui, vous le dites vous-même, ne fait finalement rien de plus que Google, alors qu’on ne sait rien de cet outil (qui est derrière? quel est le modèle économique du site ?…) me semble tout simplement déraisonnable.

    Le problème de l’ingénierie sociale, c’est qu’il s’agit de gens malins qui ne jouent pas avec les mêmes règles que nous (il y a des livres entiers sur la question).

    Merci de l’invitation à commenter sur votre site.
    Cordialement

    Christophe

  14. Comme le disent plusieurs personnes profile Watch n’a pas siphonné toutes nos données.

    Via une simple URL, il le peut que lire les données publiques, exemple : http://zesty.ca/facebook/#/mathias.poujol.rost .

  15. [...] Pour vos données Facebook, la vraie menace ne vient pas forcément des personnes que l’on croit ! [...]

  16. Toujours personne pour expliquer quel est le « modèle économique » de Profilewatch.com ? Qui est derrière ce site ? Tiens. tiens…

  17. [...] Pour vos données Facebook, la vraie menace ne vient pas forcément des personnes que l’on croit ! [...]

Commenter