Anonymat sur Internet

2 Récupération des données

2.1 Les méthodes illégales

Le phishing

Le phishing est l'une des méthodes la plus utilisée pas les hackers, tout simplement car c'est la plus facile à utiliser et elle fonctionne sur la plus part des personnes lambda. Cette méthode consiste à envoyer une fausse page de connexion ou de paiement, qui est plus ou moins identique à un détail près (nous le verrons par la suite), pour récupérer comptes, mots de passe, données personnelles , etc...

Comment fonctionne-t-il ?

Comme nous l'avons dit ci-dessus le phishing n'est qu'une copie d'une page de site qui est indétectable ou presque par une personne lambda.

Prenons l'exemple de Facebook.

  1. Le hacker a sa fausse page de phishing, cette page est une copie de la page de connexion de Facebook, il l'envoie à la victime pour récupérer les identifiants.
  2. La victime clique sur le lien de la page. Imaginons que la victime est déjà connectée à Facebook, cela n'influence pas à la récupération des identifiants puisque la victime est connectée au «vrai» Facebook. La fausse page de connexion ne permet pas à la victime de se connecter.
  3. La personne voit un message disant : «Pour accéder à ce contenu veuillez vous reconnecter à Facebook.». Pensant être sur la vraie page, la victime entre ses identifiants, et quand elle clique sur le bouton connexion elle va être redirigée vers la vraie page de connexion Facebook, et les identifiants sont envoyés au hacker.

Pour récupérer les identifiants, le hacker a par exemple créé un algorithme qui, au moment où la victime clique sur le bouton connexion, les informations entrées dans les cases «Adresse e-mail» et «Mot de passe» sont renvoyées sur un serveur ou à l'adresse e-mail du hacker. La victime est quand à elle renvoyée à la vrai page de connexion. La victime peut penser qu'elle s'est trompée dans ses identifiants et qu'elle doit les remettre.

Nous avons dit précédemment que c'était indétectable ou presque, tout simplement car le lien de la fausse page de connexion ne peut pas être le même que le vrai.

Par exemple le lien de la page de connexion de Facebook est : https://www.facebook.com/login/
Donc la fausse page de connexion qu'utilise le hacker serait par exemple : https://www.facebook-h.com/login
Comme vous pouvez le voir la seule chose qui change est le -h dans le lien, cela ne paraît pas important mais cela suffit pour piéger une personne qui ne ferait pas attention au lien.

Pour conclure avec le Phishing, c'est une technique assez simple à utiliser mais il faut trouver une raison d'envoyer le lien à une personne, par exemple «Regarde cette vidéo, j'ai pensé à toi en la voyant.», si la personne ne fait pas attention elle se reconnectera pour regarder cette fameuse vidéo qui n'existe pas.

Le «Social Engineering»

Le Social Engineering ou Ingénierie Sociale (ou même Manipulation Mentale pour les hackers) est considéré comme le plus grand art du hacking.
Il consiste à obtenir les informations d'une personne très rapidement sans qu'elle s'en rende compte.

Il existe quatre techniques principales pour réaliser cela : par téléphone, par lettre, par Internet ou même par contact direct.

Comment fonctionne-t-il ?

  1. D'abord par téléphone, c'est la méthode la plus facile puisqu'il n'y a pas de visuel. Le hacker vous appelle, il a préparé un personnage, un discours et une histoire concrète. Les meilleurs dans le domaine vont même plus loin, comme l'utilisation d'une boite son pour créer un fond sonore par exemple des sons de bureau, de clavier, d'autres personnes qui seraient autour. Certains utilisent d'un modificateur de voix pour être le plus crédible possible sur le personnage joué.
    Il pourra se faire passer pour un agent public, un collègue, un client ou même un fournisseur.
  2. Ensuite par lettre, le hacker vous enverra une lettre la plus professionnelle qu'elle soit, avec un logo, un téléphone, un fax, une email, une boîte postale pour l'adresse de sa société, etc... C'est une méthode qui est plus difficile à être convaincante.
  3. Par internet, le hacker se fera passer pour une autre personne comme par téléphone. Il sera par exemple un opérateur système, un responsable informatique ou un ingénieur système qui vous proposera ses services pour s'occuper de votre site web, d'un serveur ou tout simplement de réparer votre ordinateur.
  4. Enfin par contact direct, c'est la technique la plus difficile car il faut jouer sur la voix comme par téléphone mais surtout sur l'apparence. Le hacker sera habillé comme le personnage qu'il incarne et possèdera les accessoires importants, par exemple un costume, un agenda, des documents, etc...

Pour conclure, cette méthode est basée sur la force de persuasion c'est pour cela qu'elle est très difficile à utiliser. Ces techniques sont rarement utilisées seules, plus le hacker en utilisera plus la personne risque d'être piégée. Par exemple il peut prendre contact par téléphone ou internet pour prendre un rendez-vous, le confirmer par lettre écrite et utiliser le contact direct pour le rendez-vous.

2.2 Les méthodes légales

Pour récupérer des données personnelles, il y a des méthodes illégales qui demandent plus de compétences et des connaissances, puis il y a des méthodes plus «légales» qui sont facilement accessibles.

Les méthodes légales permettent de récupérer des données simples comme le nom, prénom, numéro de téléphone, adresse mail, travail, études, etc...

Pour récupérer ces données il suffit de faire des recherches sur les informations qu'a postées la personne. Par exemple sur Facebook, quand on s'inscrit, on peut mettre notre date de naissance, le lieu de naissance, notre nom et prénom, nos opinions politique, nos goûts, etc...

On peut aussi récupérer des informations sur les cartes de visite de la personne ou dans son milieu professionnel.

Toutes ces informations vont permettre de créer des «profils», nous en parleront dans le chapitre utilisation.

Vos données

Ce que connait votre navigateur:
Elément Valeur
IP
Environnement
Ecran (pixels)
Exemple de phishing