Mark Foster était en voyage d’affaires lorsqu’il a découvert que quelqu’un avait accédé à ses emails et à ses comptes de réseaux sociaux. Foster s’est rapidement rendu compte que cette personne avait même tenté d’accéder à ses fichiers professionnels.
En tant que fondateur de DashTickets, un magazine et guide de voyage et de divertissement néo-zélandais, et en tant que journaliste, les comptes de Mark contenaient des données sensibles.
Cette violation pourrait avoir des conséquences importantes pour lui. Les agresseurs n’ont pas demandé de rançon. En fait, ils n’ont même pas contacté Mark.
Au contraire, ils ont utilisé son compte pour usurper son identité. Ils ont publié de faux messages et de fausses informations sur ses réseaux sociaux et ont envoyé des messages et des emails, portant gravement atteinte à la réputation professionnelle de Mark.
Malheureusement, l’histoire de Mark n’est qu’un exemple parmi d’autres d’une vague mondiale de piratage des réseaux sociaux. Une étude publiée par NordVPN en 2022 révèle 2 comptes de réseaux sur 5 sont piratés aux États-Unis.
Et depuis, la situation ne s’est pas améliorée. Au contraire.
Des experts ont partagé avec Techopedia leur analyse sur la vague de criminalité mondiale, des solutions envisageables, des interventions gouvernementales et des moyens de rester en sécurité en 2024.
- Montrer Tout
40 États américains exigent que Meta lutte contre la fraude
Début mars 2024, 40 États américains et Washington, D.C. ont demandé à Meta de trouver une solution à l’augmentation “spectaculaire” des prises de contrôle de comptes sur Instagram et Facebook.
Les États américains, appuyés par le procureur général de New York, Letitia James, ont écrit une lettre à l’avocat en chef de Meta dans laquelle ils déclarent que les fraudeurs “gagnent la guerre et se déchaînent sur Meta”.
Cette actualité n’est pas une surprise pour la communauté de la cybersécurité qui n’a cessé d’alerter, rapport après rapport, sur la dangerosité des attaques et des techniques des réseaux sociaux.
Dans la lettre, New York fait état d’une augmentation de 1 000 % des plaintes liées au piratage des réseaux sociaux ou aux escroqueries depuis 2019, tandis que des États comme l’Illinois, la Caroline du Nord, la Pennsylvanie et le Vermont font état d’une augmentation annuelle de 250 % au cours de la seule année écoulée.
Cybercriminalité sur les réseaux sociaux : une crise mondiale de l’identité ?
L’indice IBM 2024 X-Force Threat Intelligence Index conclut que le monde connaît une “crise mondiale de l’identité“, qui ne fera que s’aggraver dans le futur.
Le rapport indique que les cybercriminels choisissent de plus en plus d’exploiter les identités des utilisateurs pour lancer des attaques. Le rapport explique pourquoi les hackers préfèrent s’emparer de comptes plutôt que d’écrire des codes complexes pour pirater et corrompre des systèmes.
L’exploitation de comptes valides est devenue la voie de la moindre résistance pour les cybercriminels, avec des milliards d’informations d’identification compromises accessibles sur le Dark Web aujourd’hui.
Andre Slonopas, Directeur du département de cybersécurité à l American Public University System et Officier en chef des opérations pour l’armée américaine – où il aide à coordonner les simulations et les exercices conçus pour assurer la préparation et la réponse efficace aux cyberattaques contre les infrastructures critiques – a expliqué à Techopedia des coûts des attaques sur les réseaux sociaux.
Bien que les méthodes puissent varier, les conséquences restent similaires à n’importe quelle autre compromission. Les victimes peuvent perdre des informations personnelles, leur réputation peut être entachée, elles peuvent subir des pertes financières et de fausses informations peuvent être envoyées depuis leurs comptes de réseaux sociaux.
Un aspect unique des réseaux sociaux se situe dans l’effet psychologique que provoque la compromission de cette personnalité virtuelle.
Irina Tsukerman, avocate américaine spécialisée dans la sécurité nationale et présidente de Scarab Rising, Inc, conseil stratégique en matière de sécurité, de médias et de risques géopolitiques, a également fait part à Techopedia des conséquences du piratage des réseaux sociaux.
En moyenne, 1,4 milliard de comptes de réseaux sociaux sont piratés chaque mois ; ce chiffre continuera d’augmenter car de plus en plus de personnes créent des comptes de réseaux sociaux.
En 2023, 25 % des comptes Facebook ont été détournés, tandis que le pourcentage de piratage des comptes Instagram a atteint 85 %. De plus, les détournements sont devenus plus efficaces, notamment en raison du temps nécessaire pour libérer le compte, en particulier avec Meta.
Dans certains cas, il faut des mois pour récupérer le compte, surtout si l’utilisateur n’a pas eu recours à l’authentification multifactorielle. Le problème vient en partie du fait que les services clients des réseaux sociaux sont débordés ou injoignables.
Un soutien client insuffisant sur les réseaux sociaux
Les personnes dont les réseaux sociaux ont été piratés se plaignent souvent du support client. Ken Westin, CISO chez Panther Labs a fait part de son expérience personnelle en la matière.
Ayant aidé plusieurs amis et entreprises dont les comptes ont été piratés, je peux dire que Meta n’a pas été d’une grande aide.
Lorsqu’un compte est piraté, Meta ne fait pas grand-chose pour aider les victimes, à tel point que de nombreuses entreprises qui avaient des pages ont abandonné et ont créé une nouvelle page ou ont carrément abandonné la plateforme.
Westin explique que ce manque de soutien à la clientèle a poussé de nombreuses entreprises à retirer leur financement publicitaire de sites tels que Facebook.
Le fait que Meta n’augmente pas ses mesures de protection entraîne une érosion de la confiance dans la plateforme..
Il est étonnant que Meta ait fait si peu pour résoudre ce problème, d’autant plus qu’il a un impact direct sur les utilisations légitimes de la plateforme et qu’il affecte les revenus.
Comme l’explique Westing, dans la plupart des cas, le détournement de ces comptes aurait pu être atténué par l’utilisation de mots de passe forts, de gestionnaires de mots de passe, et d’une authentification à deux facteurs.
Les réseaux sociaux peuvent-ils stopper cette criminalité ?
Avec plus de 5,35 milliards d’utilisateurs sur les réseaux sociaux, générant des données et du trafic sur ces plateformes et passant, en moyenne, trois heures et 53 minutes sur ces sites et applications chaque jour, il ne fait aucun doute que la sécurisation de ce flux massif ne soit pas une chose aisée.
Andre Slonopas a analysé les chiffres pour nous donner une idée de ce à quoi le monde est confronté.
L’immensité des réseaux sociaux fait qu’il est impossible de se débarrasser de tous les utilisateurs malveillants. Par exemple, 2 milliards d’utilisateurs se connectent chaque jour à Facebook ; même si seulement une fraction d’un pour cent de ces utilisateurs est malveillante, le nombre d’utilisateurs malveillants se chiffre en millions, voire en dizaines de millions. S’attaquer à un problème d’une telle ampleur devient extrêmement difficile.
Malgré le grand nombre d’utilisateurs, les entreprises de réseaux sociaux comme Meta, X (anciennement Twitter), YouTube, TikTok et d’autres entreprises de premier plan devraient disposer des ressources, de l’innovation et de la technologie nécessaires pour rendre ces plateformes plus sûres.
Slonopas a déclaré que la solution à cette menace repose sur 4 aspects fondamentaux :
- la sensibilisation,
- l’éducation,
- la formation
- l’innovation.
Je pense que cette approche n’est pas différente de celle adoptée pour tout autre compromis ; elle commence par l’éducation et la sensibilisation des utilisateurs. Compte tenu de l’essor de l’IA et du Machine Learning dans la cybersécurité et l’analyse des données, j’imagine qu’un jour, les outils basés sur l’IA seront à la hauteur de la tâche consistant à lutter contre des millions d’utilisateurs malveillants sur les réseaux sociaux.
La blockchain est-elle la solution au piratage des réseaux sociaux ?
La technologie blockchain, a été saluée pour son potentiel à sécuriser tout type de transaction ou de processus. Décentralisée, fortement cryptée et immuable, la blockchain est étudiée pour créer des solutions de cybersécurité et des programmes de détection des fraudes.
Solo Ceesay, cofondateur de Calaxy, un portefeuille social où les utilisateurs peuvent partager des crypto, des tokens non fongibles (NFT), a parlé de la façon dont la tendance criminelle et l’inaction des entreprises érodent la confiance.
Le piratage des réseaux sociaux remet directement en question la confiance que nous accordons aux plateformes et aux entreprises intangibles et centralisées. Sans confiance, il devient pratiquement impossible de faire des affaires, ce qui a un impact considérable sur l’expérience globale et l’utilité des plateformes sociales.
Ceesay a expliqué que les structures technologiques du Web2 (avant la technologie blockchain) sont gérées de manière centralisée et que les informations d’identification des utilisateurs ne sont en aucun cas vérifiables publiquement.
Ceesay a déclaré que les technologies Web3 constituaient une excellente solution et a expliqué pourquoi.
Une bonne analogie qui décrit le fonctionnement du modèle actuel est le concept d’avoir vos informations d’identification stockées dans un espace virtuel aussi longtemps que l’utilisateur est sur la plateforme.
L’identité décentralisée s’apparente davantage à un espace où l’utilisateur doit créer son propre code pour ranger ses affaires.
La sécurité entre leurs mains
Les concepts et les outils permettant d’accroître la sécurité des réseaux sociaux sont sans aucun doute entre les mains des entreprises de réseaux sociaux.
Tsukerman a évoqué quelques options possibles.
Les entreprises de réseaux sociaux devraient rendre obligatoire l’authentification multifactorielle et mettre en place des vérifications régulières qui pourraient être utilisées pour authentifier les utilisateurs.
Tsukerman a ajouté que les entreprises de réseaux sociaux pourraient également promouvoir une prise de conscience de la situation et des pratiques sécurisées parmi les utilisateurs et leur personnel.
Une partie du protocole standard, tant du côté de l’utilisateur que de l’entreprise, devrait inclure la surveillance des comptes de réseaux sociaux de marque pour les changements, les applications non autorisées, les administrateurs et le contenu.
Outre les contrôles internes imparfaits, les entreprises de réseaux sociaux disposent d’outils de détection du piratage ; elles sont également conscientes (et devraient promouvoir cette prise de conscience) que les pirates obtiennent le plus souvent un accès par le biais de mots de passe mal gérés, d’utilisateurs autorisés et d’applications compromises.
Et lorsqu’une attaque se produit, Tsukerman estime que les entreprises de réseaux sociaux devraient mettre au point et automatiser des processus permettant de réagir en direct et immédiatement aux piratages ou autres attaques signalés, y compris en les interrompant éventuellement.
Les gouvernements doivent-ils intervenir ?
Les gouvernements du monde entier modernisent leurs lois pour relever les défis posés par un monde numérique global. Par exemple, la Loi sur l’IA de l’UE, récemment adoptée, s’oriente vers une réglementation de l’IA. Parallèlement, la loi de l’UE sur les marchés numériques est activement appliquée pour lutter contre les monopoles et rendre les marchés numériques plus équitables.
Toutefois, si les lois et réglementations relatives à la protection de la vie privée et aux données financières sont nombreuses, les lois sur la cybersécurité qui imposent des actions spécifiques aux entreprises privées sont beaucoup plus rares.
Les gouvernements peuvent certainement intervenir, des politiques et des lois peuvent être rédigées, mais je suis également un peu sceptique quant à l’effet d’une politique seule pour s’attaquer à ce problème.
Une autre approche serait que les gouvernements et l’industrie collaborent au développement d’outils, voire au partage de données pour lutter contre l’activité des utilisateurs malveillants.
Ces efforts financés par le gouvernement pourraient atténuer certains des risques associéss à la recherche et au développement, allant beaucoup plus loin qu’une simple politique qu’un utilisateur malveillant semble ignorer.
Gérer les ressources et appliquer les normes
Selon Tsukerman, le gouvernement n’intervient pas, car il dispose de ressources limitées et il les utilise pour s’attaquer aux cybercrimes financiers directs, tels que les ransomwares, ou les piratages de cryptomonnaies et de banques.
Les piratages de réseaux sociaux sont considérés comme des problèmes mineurs, même s’ils sont effectués en masse, et ne retiendront probablement l’attention du gouvernement que s’il y a des dommages financiers très importants aux revenus ou si ces pirates sont liés à d’autres menaces de sécurité connues qui font déjà l’objet d’une enquête active.
Malgré cela, Tsukerman a déclaré que le gouvernement pourrait déplacer “la charge de la responsabilité sur les entreprises de réseaux sociaux pour les tenir responsables des pratiques de sécurité négligentes”, ce qui pourrait entraîner des amendes, des restrictions opérationnelles et, bien sûr, des recours collectifs intentés par des utilisateurs et des annonceurs compromis.
L’approche la plus interventionniste et la plus coûteuse de la part du gouvernement pourrait consister à exiger des normes de licence pour exploiter les entreprises et les technologies basées sur les données, en les obligeant à obtenir une certification annuelle en matière de cybersécurité, ce qui pourrait également diffuser le risque en obligeant les entreprises à se conformer aux normes exigées.
Conclusion
Le Dr Slonopas a expliqué que de nombreuses attaques sur les réseaux sociaux reposent encore sur des méthodes traditionnelles, telles que des attaques contre des mots de passe souvent réutilisés, des techniques d’ingénierie sociale et d’autres approches relativement simples.
Nous partageons son conseil : “Les utilisateurs doivent adopter des mots de passe uniques et forts, éviter de cliquer sur des liens aléatoires, se méfier des pièces jointes, même provenant de contacts de confiance, et se tenir informés des dernières tendances en matière d’escroqueries.”
Cependant, comme l’a souligné Tsukerman dans un entretien avec Techopedia, aucune technologie, réglementation ou modèle ne constitue une solution miracle. Avec des algorithmes de plus en plus difficiles à contrôler et une recrudescence des attaques sur les réseaux sociaux, la responsabilité repose principalement sur l’utilisateur final. Celui-ci demeure le dernier rempart pour protéger sa sécurité et sa vie privée.