Une annonce de changement de poste sur LinkedIn, des photos d'anniversaire publiées sur Facebook, le nom d'un animal de compagnie dans un poste Instagram... Autant d'informations d'apparence anodine mais qui sont en réalité une précieuse boîte à outils pour de potentiels hackers cherchant à pirater le système d'une entreprise ou d'une organisation.
Appelée Osint, pour open source intelligence, cette exploitation des données publiées en accès libre sur Internet et les réseaux sociaux est la première étape pour repérer des cibles faciles. Et, surtout, pour identifier une liste de mots de passe potentiels. « On cherchera par exemple, un nouveau salarié, plutôt âgé donc a priori moins vigilant, et travaillant dans les ressources humaines, ce qui lui donne accès à beaucoup de documents internes », explique Nidal Guedouar, hacker éthique chez Orange Cyberdéfense Sud Ouest.
Son métier ? Réaliser des « pentests » à la demande de ses clients pour tester leurs défenses. « Dans la plus part des tests d'intrusion nous avons quatre jours pour arriver à hacker tel système ou tel site internet de l'entreprise. Et dans 99 % des cas, on arrive à entrer dans l'entreprise... », poursuit cet expert. « Cela vient souvent casser quelques certitudes sur leur degré de protection. Effectivement, les clients ont tendance à protéger la partie externe, accessible à tous, mais pas la partie interne. »