Aujourd'hui, presque tous les ordinateurs ont un logiciel antivirus et la plupart des gens ont une compréhension de base des menaces de phishing par email. Mais cette même diligence et protection font défaut sur les réseaux sociaux, qui sont la base de l'identité en ligne de la plupart des gens.

Cet absence de sécurité a fait des réseaux sociaux la cible des cybercriminels et les a rendus sujets à de massives violations de données, exposant des informations personnelles précieuses.

Comme ces canaux numériques sont en dehors des pare-feu réseau, nous ne pouvons pas compter sur les méthodes traditionnelles de sécurité ou sur les équipes informatiques – il incombe à chacun d'entre nous de prendre la responsabilité de protéger notre identité numérique. Pour vous aider à commencer, nous avons quelques conseils de base pour vous assurer que vous ne rendez pas votre identité numérique vulnérable aux fuites ou aux criminels.

Ne divulguez pas trop d'informations personnelles

Les réseaux sociaux sont utilisés pour partager des informations avec des amis et la famille, mais plus vous partagez d'informations sur vous-même (par exemple, adresse, projets de voyage, anniversaires), plus un malfaiteur peut en apprendre sur vous et vous cibler efficacement, soit directement par piratage, soit indirectement par ingénierie sociale. Par exemple, les anniversaires et les noms d'animaux, peut-être partagés sur Instagram, sont le type d'informations que les criminels peuvent utiliser pour deviner des réponses à des questions de sécurité utilisées dans les authentifications à deux facteurs ou les réinitialisations de mot de passe.

Indirectement, les malfaiteurs peuvent exploiter vos informations pour construire une attaque personnalisée, qui tend à être plus efficace qu'une attaque générique. Par exemple, l'année dernière des pirates nord-coréens se sont fait passer pour une entreprise de recrutement sur LinkedIn, ciblant des employés de niveau intermédiaire dans une banque d'Amérique latine, promettant des promotions et un salaire plus élevé. Ces pirates ont piégé un tel employé informatique de banque en lui faisant passer un entretien d'embauche, durant lequel l'employé a été invité à télécharger, installer et exécuter un fichier prétendument lié au processus de recrutement. Le fichier contenait un logiciel malveillant qui a aidé les Nord-Coréens à infiltrer le réseau reliant tous les distributeurs automatiques de billets du pays.

Dites non à l'inconnu

Les gens sont intrinsèquement plus confiants sur les réseaux sociaux – les menaces signalées ne datent que de ces dernières années. N'acceptez pas de demande d'amis ou de connexions de quelqu'un que vous ne connaissez pas, même si vous avez des personnes en commun. Un faux compte pourrait vous envoyer une demande d'ami pour étoffer leur profil et duper quelqu'un d'autre en lui faisant croire qu'ils sont un compte légitime. Ou bien, ils pourraient vous envoyer une demande pour vous cibler dans une autre attaque, comme cliquer sur un lien de phishing. L'option la plus sûre est de ne pas accepter les demandes de connexion de personnes que vous ne connaissez pas.

Enquêter et évaluer

En plus de ne pas accepter de demandes des comptes que vous ne connaissez pas, prenez le temps de passer en revue vos abonnés actuels sur tous vos comptes. Vérifiez à nouveau les connexions et amis actuels ainsi que les demandes récentes – vous avez peut-être accepté par inadvertance une demande de quelqu'un qui semble familier mais qui est inconnu après un examen plus approfondi. Le profil d'une personne peut sembler légitime (c'est-à-dire que vous avez plusieurs connexions en commun et la personne prétend travailler pour une entreprise que vous connaissez). Les pirates utilisent cette tactique pour se faire passer pour quelqu'un en qui vous devriez avoir confiance. Plus vous avez de connexions mutuelles, plus il est difficile de détecter si le compte est faux. Creusez plus profondément avant de cliquer sur accepter ou même de répondre à un message pour vous assurer que ce n'est pas faux.

Sortez des messages directs

Contrairement à votre boîte de réception email, qui a probablement un filtre anti-spam assez sophistiqué, la fonction de message direct sur la plupart des applications de réseaux sociaux n'est pas protégée et est donc une excellente voie pour les attaques de phishing. Il est presque instinctif d'ouvrir un message sur Twitter, Instagram ou LinkedIn et de cliquer sur un lien. Cela est particulièrement dangereux car de nombreuses personnes ne savent même pas que ce sont des vecteurs d'attaque par phishing.

Les pirates sont devenus créatifs avec les messages qu'ils envoient pour inciter les gens à cliquer. Par exemple, en juin, des criminels ont pu voler les identifiants des utilisateurs en envoyant un message direct via Instagram qui promettait le statut de "compte vérifié" en cliquant simplement sur un lien. Si vous ne connaissez pas la personne qui vous envoie le message, ne cliquez pas ou ne l'ouvrez pas. Même si vous connaissez la personne (ou le compte), mais que le lien qu'elle vous envoie semble suspect, ne cliquez pas sur le lien. En matière de sécurité, il vaut mieux pécher par excès de prudence.

Soyez unique

Les gens utilisent souvent la même adresse email et le même mot de passe pour tous leurs comptes sur les réseaux sociaux. Mais si votre compte email est violé ou compromis lors d'une fuite de données (pensez à Equifax), les pirates peuvent utiliser ces identifiants pour compromettre ou prendre le contrôle de tous les comptes liés à cette adresse email. Idéalement, créez une adresse email différente uniquement pour les réseaux sociaux. Au minimum, assurez-vous d'utiliser un mot de passe unique pour chaque compte, et si votre email est compromis, assurez-vous de changer tous les mots de passe associés à cette adresse (les gestionnaires de mots de passe rendent cela facile).

Bio de l'auteur

En tant que président, CTO et cofondateur de SafeGuard Cyber, M. Freire est responsable du développement et de l'innovation continue de la plateforme d'entreprise de SafeGuard Cyber. Il a une riche expérience dans les applications de réseaux sociaux, le commerce sur internet et les technologies de l'information au service des secteurs pharmaceutique, des services financiers, de la haute technologie et du gouvernement. M. Freire est titulaire d'une licence en génie civil, d'une maîtrise en systèmes d'information de gestion et d'un MBA de la Darden School of Business de l'Université de Virginie, où il est actuellement chargé de cours invité pour les cadres.