Le manque de sécurité a fait des médias sociaux la cible des cybercriminels et, par la suite, l’objet de violations massives des données, exposant ainsi de précieuses informations personnelles. Découvrez dans cet article comment protéger votre identité numérique.
Ne soyez pas trop personnel
Les médias sociaux sont utilisés pour partager des informations avec les amis et la famille, mais plus vous partagez d’informations sur vous-même (par exemple, l’adresse de votre domicile, vos projets de voyage, vos anniversaires), plus un acteur malveillant peut en apprendre sur vous et vous cibler plus efficacement, soit directement par piratage, soit indirectement par ingénierie sociale. Il faut protéger votre identité numérique.
Indirectement, les mauvais acteurs peuvent tirer parti de vos informations pour construire une attaque personnalisée, qui a tendance à être plus efficace qu’une attaque générique. Par exemple, l’année dernière, des pirates nord-coréens se sont fait passer pour une société de recrutement sur LinkedIn, ciblant les employés de niveau intermédiaire d’une banque latino-américaine, avec des promesses de promotion et de salaire plus élevé. Ces pirates ont incité un employé informatique de la banque à passer un entretien d’embauche, au cours duquel il lui a été demandé de télécharger, d’installer et d’exécuter un fichier prétendument lié au processus de recrutement. Ce fichier contenait un logiciel malveillant qui a aidé les Nord-Coréens à infiltrer le réseau reliant tous les distributeurs automatiques de billets du pays.
Dites non à l’inconnu
Les gens sont par nature plus confiants sur les médias sociaux – les menaces signalées ne datent que de ces dernières années. N’acceptez pas les demandes d’amis ou de connexion de quelqu’un que vous ne connaissez pas, même si vous avez des personnes en commun. Un faux compte peut vous envoyer une demande d’ami pour étoffer son profil et faire croire à quelqu’un d’autre qu’il s’agit d’un compte légitime. Il peut aussi vous envoyer une demande pour vous cibler dans le cadre d’une autre attaque, par exemple en cliquant sur un lien de phishing. L’option la plus sûre est de ne pas accepter les demandes de connexion de personnes que vous ne connaissez pas.
Enquêter et évaluer
En plus de ne pas accepter les demandes de comptes que vous ne connaissez pas, prenez le temps de passer en revue vos followers actuels sur tous les comptes. Vérifiez les connexions et les amis actuels ainsi que les demandes récentes – vous avez peut-être accepté sans le savoir une demande de quelqu’un qui vous semblait familier mais qui vous est inconnu après un examen plus approfondi. Le profil d’une personne peut sembler légitime (par exemple, vous avez plusieurs connexions en commun et la personne prétend travailler pour une entreprise que vous connaissez). Les pirates utilisent cette tactique pour se faire passer pour une personne de confiance. Plus vous avez de connexions communes, plus il est difficile de détecter si le compte est faux. Creusez davantage avant de cliquer sur accepter ou même de répondre à un message pour vous assurer qu’il n’est pas faux.
Glissez-vous hors des DM
Contrairement à votre boîte aux lettres électronique, qui dispose très probablement d’un filtre anti-spam assez sophistiqué, la fonction de message direct de la plupart des applications de médias sociaux n’est pas protégée et constitue donc une voie privilégiée pour les attaques de phishing. C’est presque une seconde nature d’ouvrir un message sur Twitter, Instagram ou LinkedIn et de cliquer sur un lien. C’est particulièrement dangereux car beaucoup de gens ne savent même pas qu’il s’agit de vecteurs d’attaque par phishing.
Les pirates ont fait preuve de créativité avec les messages qu’ils envoient pour inciter les gens à cliquer. Par exemple, en juin, des criminels ont pu voler les identifiants d’utilisateurs en envoyant un message direct via Instagram qui promettait le statut de « compte vérifié » en cliquant simplement sur un lien. Si vous ne connaissez pas la personne qui vous envoie le message, ne cliquez pas dessus et ne l’ouvrez pas. Même si vous connaissez la personne (ou le compte), mais que le lien qu’elle envoie vous semble suspect, ne cliquez pas sur le lien. En matière de sécurité, il est préférable d’opter pour la prudence.
Soyez unique
Les gens utilisent souvent la même adresse électronique et le même mot de passe pour tous leurs comptes de médias sociaux. Mais si votre compte de messagerie est piraté ou compromis à la suite d’une violation de données (pensez à Equifax), les pirates peuvent utiliser ces informations d’identification pour compromettre ou prendre le contrôle de tous les comptes liés à cette adresse électronique. L’idéal est de créer un compte de messagerie différent, réservé aux médias sociaux. Au minimum, veillez à utiliser un mot de passe unique pour chaque compte, et si votre adresse électronique est compromise, veillez à changer tous les mots de passe associés à cette adresse (les gestionnaires de mots de passe facilitent cette opération).
