🏴‍☠️ Quelles sont les conséquences d’un piratage de vos réseaux sociaux ?

Pour ce 43e épisode du pOD, nous échangeons sur les risques et conséquences du piratage de compte sur les réseaux sociaux. Retrouvez ci-dessous les principaux éléments abordés durant cet épisode de podcast, ainsi que différents liens et ressources utiles pour approfondir votre réflexion sur ce sujet.

Écouter l’épisode

Pourquoi aborde-t-on ce sujet ?

Si vous êtes Social Media Manager, vous avez forcément entendu parler d’une entreprise qui s’est fait pirater ses comptes sociaux, ou peut-être même que cela vous est déjà arrivé.

Dans cet épisode, nous allons parler d’un sujet important, mais qui donne des sueurs froides et qu’on a souvent tendance à mettre sous le tapis, jusqu’au moment de la catastrophe. Il s’agit du piratage de compte sur les réseaux sociaux.

En effet, nous sommes de plus en plus sollicités pour accompagner des entreprises dans la récupération de leurs comptes sociaux à la suite d’un piratage. Il était donc temps d’en parler pour comprendre les conséquences 😉

Les intervenants sur cet épisode de podcast sont :

• Gwen, chef de projet social media Ouest Digital. En plus d’être la Voix du pOD, elle pilote les comptes de nombreux clients de l’agence. 
• Bryan, cofondateur Ouest Digital, spécialiste de la veille 

Au programme de cet épisode de podcast

Dans cet épisode, voici ce que nous partageons avec vous :

1. Concrètement, de quoi est-ce que l’on parle ?
2. Quelques chiffres sur le sujet
3. Quelles types d’entreprises sont le plus concernées et quelles sont les attaques les plus fréquentes ?
4. Comment reconnaître que l’on s’est fait pirater et quels sont les risques ?
5. Qu’est-ce que cela implique pour les Community Manager et Social Media Manager ?
6. Qu’est-ce que l’on pense de ce sujet au sein de notre agence Social Media ?

Ressources utiles en complément de cet épisode

• Article « Les sociétés françaises ont subi en moyenne 14 incidents de cybersécurité sur un an »
• Article « Près de la moitié des TPE et PME françaises s’estiment trop peu protégées »
• Article « Aux Etats-Unis, Meta accusé de ne pas assez protéger ses utilisateurs contre les piratages de comptes »
• Adopter les bons réflexes pour sécuriser ses actions de community management, avec Jean-Sylvain Chavanne (Le pOD, épisode #21)

S’abonner au podcast « Le pOD »

À chaque sortie d’un épisode, nous ajouterons dans la rubrique Podcast de Keep it Simple un article intégrant le lecteur pour écouter le podcast, ainsi que les notes et les ressources citées dans l’épisode.

Vous pouvez aussi vous abonner sur votre plateforme d’écoute préférée pour ne rater aucun épisode :

Si vous souhaitez nous suggérer des idées de sujets à traiter ou encore si vous êtes intéressés pour être notre futur(e) invité(e), n’hésitez pas à commenter cet article ou à nous contacter : podcast@ouest.digital

Retranscription de l’épisode

[Gwen] Bonjour et bienvenue sur LePod. Pendant une petite demi-heure, nous allons échanger sur les problématiques de nos métiers en tant que Community Manager et Social Media Manager. Notre objectif, partager ensemble nos réflexions sur un sujet, nos avis et nos pratiques.

Dans l’épisode d’aujourd’hui, je suis accompagnée de Bryan et nous allons vous parler de piratage sur les réseaux sociaux. Comment pouvons-nous nous faire pirater et quelles sont les attaques les plus fréquentes ? Et qu’est-ce que cela implique pour notre travail en tant que Social Media Manager ?

Un dernier mot, si ce podcast vous plaît, pensez à vous abonner sur votre plateforme d’écoute préférée pour être sûr de ne rater aucun épisode. Allez, je vous laisse, c’est parti ! Bonjour à toutes et à tous et bienvenue sur LePod.

Nous sommes ravis de vous retrouver pour cette nouvelle année avec un nouvel épisode. Donc aujourd’hui, je suis avec Bryan. Bonjour Bryan.

[Bryan] Bonjour Gwen et bonne année à toutes et tous.

[Gwen] Bonne année à toi. Tu as passé de bonnes fêtes de fin d’année ?

[Bryan] Toujours comme toutes les fêtes de fin d’année. Je suis prêt pour repartir sur une nouvelle année et 2025 devrait être vraiment très intéressant.

[Gwen] Eh bien, à l’avenir nous le dira, comme on dit. Pour ce 43ème épisode du Pod et pour ce premier de l’année, nous allons parler d’un sujet qui donne des sueurs froides à certains, mais qui est néanmoins important et qu’on a souvent tendance à mettre sous le tapis jusqu’au moment de la catastrophe. Il s’agit bien sûr du piratage de comptes sur les réseaux sociaux.

Donc on va voir ensemble un petit peu les risques, les conséquences et puis plein d’autres choses que tu vas nous dévoiler.

[Bryan] Ouais, avec plaisir.

[Gwen] C’est parti.

[Bryan] Allez, c’est parti.

[Gwen] Eh bien alors déjà, comme habituellement, est-ce que tu pourrais nous expliquer un petit peu de quoi on parle exactement aujourd’hui quand je parle de piratage sur les comptes sociaux ?

[Bryan] Alors, en réalité, piratage, c’est presque pas le bon terme qu’il faudra utiliser parce que c’est un terme qui est un peu mal connoté. Il faudra plutôt parler d’actes malveillants ou même cyber malveillants. C’est le terme beaucoup plus technique.

Concrètement, ça veut dire quoi ? Ça veut dire qu’on va se retrouver avec des comptes sur les réseaux sociaux, avec des accès compromis, on va perdre l’accès à sa page, à son profil, à son compte Instagram, etc. Bref, tout ce qui peut d’une certaine manière avoir des conséquences plutôt négatives sur son activité en ligne lorsqu’on gère des réseaux sociaux.

Et on en parle parce qu’en fait, mine de rien, c’est un sujet qui est un peu en augmentation. Ce n’est pas forcément facile à aborder puisque c’est un peu anxiogène. Souvent, en plus, on a plutôt tendance à se dire qu’on n’en parle pas jusqu’au jour où ça nous arrive.

On se rend compte que quand ça nous arrive, c’est un peu trop tard parfois. Moi, je pense qu’il vaut mieux plutôt essayer de se déstresser avec ça, de libérer un peu la parole, de dire ce qui peut arriver, comment ça arrive et qu’est-ce qu’on fait quand ça arrive. Il y a plein de choses.

Ce n’est pas très compliqué en soi sur les actions à mettre en œuvre pour se protéger. Ce n’est pas l’objet de ce qu’on va se dire aujourd’hui. On pourra le détailler un peu plus tard.

Mais déjà aujourd’hui, je pense que c’est important qu’on comprenne pourquoi il faut pouvoir se protéger parce que ça a des conséquences qui sont assez lourdes pour certaines entreprises.

[Gwen] Oui, forcément. Est-ce que tu aurais quelques chiffres à nous partager pour illustrer l’augmentation ?

[Bryan] Oui, j’en ai trois. D’abord, j’en ai un de 2024, l’année dernière. On vous mettra comme d’habitude les sources en ligne.

A priori, les PME françaises subissaient en moyenne 14 cyberattaques par an. On parle de tout type d’attaque malveillante. Ce n’est pas que réseaux sociaux.

Mais déjà, ça veut quand même dire une chose, c’est qu’il y a au moins une par mois en moyenne. Ça reste une moyenne en plus. Ce n’est pas négligeable.

J’ai à côté de ça les PME et les TPE françaises. Ça, c’est une étude qui a été menée par Cybermalveillance, qui est un dispositif mis en ligne par le gouvernement, qui montrait que 61% des TPE et PME françaises s’estimaient, elles, mal protégées sur le sujet. Donc, il y a une prise de conscience.

D’un côté, il y a une augmentation des attaques. Puis, de l’autre côté, il y a une prise de conscience. Ça, c’est d’un point de vue général.

Tout type de support numérique. Et puis, si on regarde côté réseaux sociaux, j’en ai un troisième, un chiffre qui est intéressant. C’est un chiffre qui est plutôt américain, mais qui est quand même assez parlant pour comprendre l’ampleur du phénomène.

C’est un article du Monde qui relaie que le bureau du procureur de New York a enregistré un boom de plaintes en ligne pour des détournements de comptes Instagram et Facebook. Et du coup, on joignait Meta de réagir parce qu’il y avait un pic. Et ce pic, c’est quoi ?

C’est entre 2019 et 2024, on était à x10 en termes de demandes. Donc, il faut s’imaginer que le procureur de New York, il est passé de 80 demandes en moyenne par an à 800. Et du coup, pour lui, c’est qu’il y a un problème quelque part aussi.

Voilà, donc ça, c’est les chiffres qu’on observe. Et puis après, en fait, nous, c’est ce qu’on voit aussi au quotidien. C’est qu’on a de plus en plus de demandes de boîtes qui ne sont pas nos clients et qui nous contactent en nous disant qu’on a un problème avec nos réseaux, on n’y accède plus, on s’est fait pirater.

Il y en a qui arrivent à le dire formellement, d’autres qui ne savent pas vraiment ce qui se passe. Et du coup, on en parle régulièrement au sein de l’équipe. Mais moi, entre 2023 et 2024, j’ai quasiment eu, je ne peux pas dire une demande par trimestre, mais pas loin.

Donc voilà, ce n’est pas une étude scientifique. En tout cas, nous aussi, on le ressent de notre côté.

[Gwen] Et tu parles principalement, depuis tout à l’heure, des TPE, PME. Ce sont les seules entreprises concernées par ce sujet ?

[Bryan] Non, alors en réalité, toutes les entreprises sont concernées. Parce qu’en fait, dans la majeure partie des cas, quand une entreprise est victime d’un acte malveillant, dans la majorité des cas, ce n’est pas une entreprise qui est visée plus qu’une autre. Il y a plutôt une recherche de vulnérabilité.

Quand on se fait attaquer, bien souvent, on ne peut pas généraliser, mais dans la majeure partie des cas, personne ne nous en veut directement. On ne cherche pas à récupérer l’accès à notre page Facebook ou notre compte LinkedIn. Ce n’est pas nous qui sommes visés, c’est plutôt la vulnérabilité, c’est-à-dire l’entreprise qui n’a pas mis en place des mesures adaptées pour se protéger.

Et donc, ça concerne finalement tout type d’entreprise, quelle que soit la taille. Mais effectivement, ce qu’on voit, c’est que souvent, les premières victimes, ce sont des entreprises de taille modeste qui n’ont pas forcément de culture de la sécurité informatique. Et moi, j’ai regardé un peu les points communs dans les cas qu’on a eus à l’agence.

Et en fait, j’ai observé plusieurs points communs. D’abord, il y a un premier point commun qui revient souvent dans les entreprises qui nous contactent et qui ont eu un problème. Ce sont des entreprises où il y a un turnover qui est très important sur la partie réseaux sociaux notamment.

Souvent, je leur pose la question, en quatre ans, combien de personnes ont été amenées à gérer vos réseaux sociaux ? Et là, plus la réponse est élevée et plus, effectivement, on observe qu’il y a des comportements à risque quand il y a un turnover. Je ne dis pas que c’est parce qu’il y a un turnover qu’il y aura un problème de piratage, mais en tout cas, c’est un point commun qu’on a beaucoup.

Le deuxième point commun que j’observe, c’est que dans certains cas, la gestion des réseaux sociaux a été confiée à des personnes avec peu d’expérience et sans encadrement. En tout cas, on peut tout à fait gérer les réseaux sociaux d’une entreprise sans peu d’expérience. D’ailleurs, on passe souvent par là.

Mais la problématique, c’est qu’il n’y a pas eu d’encadrement en plus. Donc, il n’y a pas eu une personne qui va aussi encadrer la personne qui sera en charge des réseaux sociaux pour lui expliquer les bonnes pratiques pour se protéger. Et puis, l’autre cas aussi qu’on observe, ce sont des entreprises où beaucoup de personnes sont amenées à gérer les réseaux sociaux.

Il y en a une qui va faire la modération, et puis après, l’autre, les entreprises vont dire « on est trois, quatre à gérer la page ». Et là aussi, c’est un cas qu’on observe souvent. Une fois encore, ce n’est pas une généralité, mais souvent, quand il y a une problématique de ce côté-là, un de ces trois critères va être amené à être observé.

Donc, en fait, c’est ça qu’il faut retenir, c’est que c’est davantage plus un problème organisationnel que technique. Pour se protéger, bien sûr, il y a des aspects techniques à mettre en œuvre, comme un bon mot de passe ou la double authentification dont on pourra reparler, mais c’est davantage plus un problème d’organisation. On avait fait un épisode avec Jean-Sylvain Chavannes, il y a quelques temps, quelques années même, sur l’aspect cybersécurité, etc., de manière plus large, et lui aussi en parlait. Il disait beaucoup qu’il ne faut pas réduire la cybersécurité à l’aspect purement technique. Il y a d’abord un problème d’organisation. Et là, on le ressent aussi, nous, dans les cas qu’on traite aujourd’hui.

[Gwen] Est-ce que tu peux nous dire un petit peu de quelle façon est-ce qu’on peut se faire pirater sur les réseaux sociaux ?

[Bryan] Il y a un cas qui revient beaucoup, généralement, c’est le fameux phishing, ce qu’on appelle le hameçonnage. Le phishing, c’est quoi ? Je reçois un message, quel que soit le support, aujourd’hui, ce n’est pas forcément que par mail.

Il y a beaucoup de personnes qui pensent que le phishing, c’est par mail. Non, c’est aussi par des messages privés. Ou par texto.

Ou par texto, exactement. Tu reçois un message d’une personne qui se fait passer pour une autre. Imaginons que tu reçois un message de ma part en disant « Gwen, je suis bloqué à l’étranger, est-ce que tu peux m’envoyer mes accès à mes réseaux ?

Clique ici, puis je remplis le formulaire. » Ça paraît grossier comme ça, mais la plupart des attaques que nous observons, c’est beaucoup des cas de phishing. J’en ai un qui me vient en tête, un cas qu’on a été amené à gérer en milieu de l’année dernière.

Une boîte qui nous dit « j’ai perdu accès, je me suis clairement fait pirater » parce que j’ai reçu un message de la personne qui m’a piraté sur WhatsApp en me disant « si tu veux récupérer ton compte, tu dois m’envoyer 10 000 bitcoins » avec une belle capture d’écran. Je lui ai dit « décrivez-moi ce qui s’est passé, comment vous êtes venu à vous rendre compte que c’était le cas ? » La personne m’explique.

Je lui ai dit « avant que tout ça arrive, est-ce que vous n’avez pas reçu un mail d’Instagram qui vous disait qu’il y avait un problème d’accès ? » Je lui ai dit « si, j’ai reçu un mail sur votre mail qui se faisait passer pour Instagram avec la même déclinaison graphique, les mêmes termes, etc. qui me disait que mon compte était compromis, qui me demandait de cliquer sur un bouton et de changer mon mot de passe.

» Ce qui a fait que la personne, sous le coup du stress, ce n’est pas que la personne a mal fait son boulot, c’est juste que ça lui a fait peur. C’est le but. Comme elle a eu peur, sans réfléchir, elle a cliqué sur le bouton et elle est allée remplir le formulaire.

Ce qu’elle n’avait pas vu, c’est que l’adresse URL du formulaire n’était pas du tout Instagram.com. Oui, c’est ça. On se fait passer pour quelqu’un d’autre, et en plus, c’est sous le coup du stress, il y a de l’émotion, on ne fait pas attention, et on se fait avoir.

C’est un cas qu’on a beaucoup, c’est le phishing.

[Gwen] Je me souviens que Jean-Sylvain, à l’époque, je lui avais demandé du coup, si on ne regarde pas effectivement précisément l’adresse mail, et qu’on clique sur le lien pour faire ça, quelle est la bonne pratique ? Je me souviens qu’il m’avait dit, on ne va jamais changer un mot de passe en cliquant sur un lien dans un mail ou un message, ou peu importe. Il dit à chaque fois, il faut sortir, aller sur la plateforme, faire la modification de mot de passe sur la plateforme, sur ton application.

Mais c’est vrai que ça ne coule pas de source pour beaucoup de personnes. Quand bien même le mail viendrait vraiment d’Instagram, on ne prend pas le risque de faire ça. On sort du mail et on va dans l’application pour changer son mot de passe.

[Bryan] D’ailleurs, la plupart des réseaux n’envoient jamais, très peu, une notification pour dire qu’ils ont compté les compromis. Et si ça arrive, effectivement, le réflexe est de se dire, après j’ai un risque, je vais sur la plateforme, je change mon mot de passe. C’est beaucoup de phishing.

Et puis après, j’ai eu un cas aussi, il y a quelques temps, d’une boîte qui me dit, on ne comprend pas, on n’a plus accès à nos pages. Quand je leur demande de m’expliquer comment ils accédaient à leurs pages, je me suis rendu compte qu’ils avaient créé toute une myriade de faux profils au nom de l’entreprise. Je crois qu’il y avait au moins 15 faux profils.

Et donc, qui correspondaient à peu près à 15 personnes qui accédaient à ces faux profils. Mais on ne savait pas qui avait accès à ces faux profils. On ne savait pas qui était derrière, qui avait le mot de passe.

Et on n’a jamais su par quels faux profils les pirates sont passés. Mais a priori, il y en a un qui a dû avoir une vulnérabilité autre comme un mot de passe et qui a récupéré l’accès à la page et qui a du coup ensuite retiré, on admine tous les autres faux profils. Donc on ne sait même pas d’où c’est arrivé.

C’est un des faux profils. On ne pourra jamais dire lequel, parce qu’il y en a plein. Et même quand je dis au client ce faux profil est utilisé par qui, le client me dit je n’en sais rien.

Déjà ça c’est problématique. Il y a beaucoup de types d’attaques. Et parfois il y a même des attaques un peu plus vicieuses.

C’est-à-dire qu’il y a un cas de phishing où tu reçois un faux message privé sur Facebook ou Instagram, tu remplis ton formulaire pour donner ton mot de passe et puis il ne se passe rien. J’ai eu un autre cas pareil, rien. Dans l’immédiat, pas de problème.

La personne se dit c’est bon. Et trois mois plus tard, la personne se dit je ne suis plus admine de ma page. Et donc il nous contacte et j’échange avec la personne et elle me dit est-ce que vous avez rempli récemment un formulaire pour changer votre mot de passe ?

Non, je me souviens très bien. Ça m’aurait marqué. Non, j’ai rien du tout.

C’était il y a tellement longtemps que les pirates étaient déjà dans le profil de la personne. Ça a duré trois à quatre mois. Et quand j’ai regardé l’historique de connexion au profil Facebook, c’était un profil Facebook qui était admin de la page, je leur dis est-ce que vous êtes connecté de telle ville, telle ville, telle ville ?

Beaucoup de villes en Asie du Sud-Est. Non, je n’y suis jamais allé. J’aurais pu.

Et en fait, c’était des connexions qui remontaient, je crois qu’à ce moment-là, c’était des connexions de fin octobre alors que la personne avait perdu sa page mi-janvier. Donc voilà, les types d’attaques sont parfois aussi assez élaborés. Mais ce qu’il faut retenir, c’est que la plupart du temps, ce sont des toutes petites boîtes auxquelles je fais référence et on ne voulait pas absolument les pirater.

Elles, on cherchait juste celles qui étaient les plus vulnérables. Et je me souviens, Jean-Célin, il utilisait une image, une analogie qui est assez intéressante pour comprendre cette philosophie-là, c’est imaginer qu’en fait, le pirate fasse le tour d’un quartier avec plein de maisons et qu’il essaye d’ouvrir juste les maisons. Les maisons qui sont ouvertes.

Toutes les maisons qui ne sont jamais fermées à clé, il va les noter et puis il va revendre l’adresse de ces maisons en disant toutes ces maisons-là sont vulnérables. Si vous voulez avoir besoin d’accès à une maison, toutes celles-là sont toujours ouvertes. Après, derrière, ces adresses-là vont se vendre au marché noir.

Il y a vraiment cette notion à casser dans l’esprit de beaucoup de personnes, c’est bien sûr qu’on ne vous en veut pas à vous. Bien sûr, vous n’avez rien à cacher. Bien sûr, vous êtes toute petite boîte.

Ce n’est pas vous qu’on vise. C’est les entreprises qui sont les plus vulnérables parce que c’est le plus facile derrière à attaquer.

[Gwen] Ça marche. Comment est-ce qu’on peut reconnaître qu’on s’est fait attaquer parce que tu disais que parfois les entreprises ne savaient pas toujours ce qui se passait ?

[Bryan] Il y a plusieurs signaux qui permettent de comprendre qu’il y a un truc qui tourne par an. Déjà, c’est quand on commence à recevoir des emails envoyés par les réseaux sociaux. Pour le coup, ça, les réseaux sociaux le font beaucoup, des emails qui indiquent qu’il y a des connexions infructueuses sur son compte.

Ça, pour le coup, les réseaux envoient régulièrement des mails pour nous dire ça. Par contre, à aucun moment dans le mail, ils nous demandent de nous reconnecter. C’est des mails qu’on va recevoir comme ça en disant qu’il y a eu une tentative infructueuse pour se connecter à votre compte.

Et souvent, ces mails-là, donc il va y en avoir plusieurs, étalés sur plusieurs jours, souvent on les reçoit la nuit. Pour une raison, ce n’est pas que les actes sont menés la nuit, c’est qu’ils sont menés sur d’autres fuses horaires que les nôtres. En journée sur d’autres fuses horaires et donc nous, on va les recevoir la nuit.

Déjà là, c’est un premier cas d’alerte. Tu reçois un mail à 3h du mat en disant qu’il y a eu deux tentatives de connexion à ton profil LinkedIn parce qu’à priori, il y a quelque chose en lien avec ton profil. Il y a un deuxième cas concret, c’est que tu essaies de te connecter et puis on te dit que le login et le mot de passe ne fonctionnent pas.

Donc c’est qu’à priori, ils ont été changés et si tu ne t’en souviens pas, ben voilà. Il y a un autre cas aussi qui est arrivé à un client il y a quelques années, c’est les plateformes publicitaires qui envoyaient un mail avec les dépenses de publicité pour des dépenses de campagne qui n’avaient pas du tout lancé. C’est pareil, ça doit être alerté parce qu’à priori, c’est qu’il y a quelque chose qui se passe et qui n’est pas très conforme.

Il y a un autre cas et pareil, auquel vous pouvez être très vigilant, c’est quand vous recevez des mails, des mails officiels, avec vraiment une signature officielle ou maintenant dans Gmail, on peut savoir qui est vraiment l’expéditeur officiel par exemple de LinkedIn ou Meta qui vous envoient un mail pour vous informer de quelque chose, mais ce mail n’est pas dans votre langue d’origine, la langue sur laquelle vous avez configuré votre profil. Ça, on le voit de plus en plus.

Si vous avez configuré votre profil en français et que vous recevez un mail en anglais, en espagnol, en turc ou autre, c’est qu’à priori, il y a quelqu’un qui est déjà rentré dans votre profil et qui a potentiellement commencé à modifier certains aspects de votre profil. Et ça, c’est pareil, c’est un très très bon signal. C’est une question que je pose souvent.

Est-ce que vous avez déjà reçu des mails de Meta, c’est un profil Facebook qui s’est fait pirater, dans une autre langue que la vôtre ? Ça, ça permet aussi d’avoir des informations intéressantes. Et le dernier cas, c’est aussi quand on reçoit des mails des réseaux sociaux qui nous disent qu’il y a eu une connexion depuis un nouveau lieu qu’on ne connaissait pas.

Parce que les réseaux savent où est-ce qu’on se connait régulièrement et puis ça doit arriver aussi quand tu voyages. Des fois, tu reçois un mail de Meta qui te dit une nouvelle connexion depuis tel pays. Alors, quand c’est toi, tu sais qu’il n’y a pas de problème.

Quand c’est pas toi, tu peux te poser des questions. Et ça aussi, ça doit te mettre la puce à l’oreille. Généralement, il y a plein de petits cas, des signaux avant-coureurs comme ça, qui permettent de dire OK, il y a un truc qui tourne par an.

Ça ne veut pas encore dire que tu as tout perdu. Ça veut dire que, par contre, tu n’es pas très loin, en tout cas, d’avoir des problèmes, donc il faut réagir assez rapidement.

[Gwen] C’est peut-être le moment de changer de son mot de passe et de se déconnecter de toutes les connexions actives.

[Bryan] Exactement. Et d’activer la double authentification, par exemple.

[Gwen] Oui.

[Bryan] Le truc que tu sais, tu recommandes à tout le monde de faire et tout le monde te dit c’est trop chiant, je le ferai plus tard. Plus tard, parfois c’est trop tard.

[Gwen] Et ça sert à quoi, alors ?

[Bryan] La double authentification ? C’est une mesure qui va venir en plus du mot de passe, qui va permettre de certifier que c’est bien toi qui essaies de te connecter à ton compte avec ton mot de passe.

[Gwen] Donc ça veut dire que si, par exemple, on arrive à voler mon mot de passe avec un phishing, ils ne pourront pas se connecter si il y a la double authentification, parce qu’on va leur demander un autre code qui est envoyé souvent sur ton téléphone, soit par un SMS, soit par une appli mobile.

[Bryan] Et en plus, ces codes envoyés sur le téléphone sont des codes à usage temporaire, et en général, quand on parle de temps temporaire, c’est 30 secondes. Ça veut dire qu’en gros, même si ton mot de passe fuite, ce qui peut arriver, même quand tu es sensibilisé, ça arrive à tout le monde, il faut quand même se le dire, la personne qui essaie de se connecter, il lui reste maximum 30 secondes à une minute pour récupérer le mot de passe qui a été envoyé sur ton téléphone. Encore faut-il qu’il l’ait à ton téléphone.

Tu vois, tu rajoutes une mesure de protection supplémentaire. Et ça, des fois, il ne suffit pas grand-chose. Oui, la double authentification, c’est pénible pour beaucoup, mais ça t’apporte tellement de sécurité, qu’il n’y a même pas de question à se poser.

Chacun est libre de s’organiser comme il le souhaite. En tout cas, il y a des signaux, comme les mails, dans d’autres langues, etc., ça doit quand même t’aider à reconnaître, à priori, qu’il y a quelqu’un qui essaie d’accéder à tes comptes et à tes pages.

[Gwen] Tout à l’heure, tu parlais de l’aspect organisationnel, en disant que Jean-Sylvain avait dit que ce n’était pas forcément toujours qu’une question de technique. Mais du coup, qu’est-ce que ça révèle de l’organisation d’une entreprise au fait qu’elle se fasse pirater ?

[Bryan] Honnêtement, ça révèle beaucoup de choses. Généralement, quand il y a un cas de piratage, une fois que la crise est passée, il faut aussi dire les choses aux personnes concernées. Souvent, ça va révéler un problème de manque de moyens concernant la gestion de réseaux sociaux.

C’est-à-dire qu’on va les confier aux personnes qui sont les plus disponibles, aux personnes sans peu d’expérience, sans encadrement. Du coup, ça va révéler le fait que l’entreprise peut-être sous-estime l’importance de ses réseaux sociaux. Il y a un manque de moyens et de considérations pour les réseaux.

Ça révèle aussi parfois un gros manque d’organisation interne. Quand clairement, tu demandes à un client qui a accès à ces comptes-là, dans votre équipe, qui a accès à ces profils, pour identifier potentiellement la source de l’attaque, et que le client te dit « je n’en sais rien en fait, les gens y accèdent et puis voilà ». C’est-à-dire qu’à un moment donné, il y a peu de choses qui sont structurées.

Donc ça révèle aussi parfois un gros manque d’organisation. Ça révèle un énorme manque de sensibilisation interne sur le sujet de la sécurité informatique. Parce qu’en fait, je reviens sur un cas que j’ai eu avec un client, c’est le fameux client où il y avait une connexion en octobre et puis ils ont perdu leur page début janvier.

Quand je leur ai dit « envoyez-moi sur une application dédiée le mot de passe de votre profil Facebook pour que je puisse y accéder et faire le relevé », ils m’ont envoyé le mot de passe et très rapidement j’ai compris déjà que le mot de passe n’était pas trop ça, limite 1, 2, 3, 4, c’était plus sécurisé. Et là je leur ai dit « mais attendez, juste rassurez-moi, ça c’est un mot de passe temporaire que vous avez changé pour me l’envoyer, c’est pas le même que sur votre boîte mail et c’est juste un mauvais exemple ». Et la personne m’a dit « non, en fait, c’est un peu compliqué pour nous le mot de passe, on met des trucs faciles à retenir pour les dirigeants et les dirigeantes.

Et en plus, je mets le même sur tous les réseaux parce que comme ça au moins ils savent que pour les réseaux sociaux c’est le plus simple ». Et donc là ça a révélé vraiment un manque de sensibilisation sur la sécurité informatique.

[Gwen] Il y a un vrai sujet sur ça, parce que moi j’ai l’impression quand même que c’est la majorité des entreprises qui sont concernées par cette façon de faire. Parce que le DocExcel où il y a les mots de passe de toute l’entreprise pour absolument tout où on laisse les salariés choisir leur mot de passe, donc ça veut dire que le jour où ils partent, tu connais pas leur mot de passe, tu sais pas comment récupérer accès à leur boîte mail ou autre, enfin peu importe. C’est partout en fait.

[Bryan] Oui c’est partout, enfin partout. C’est quand même de moins en moins le cas, mais on le voit encore beaucoup trop. Et pourtant c’est pas faute d’avoir des sensibilisations sur le sujet.

Mais ça nécessite une organisation et des moyens. Et du temps parfois pour mettre ça en œuvre. Et c’est jamais la priorité.

[Gwen] C’est sûr qu’aujourd’hui t’as envie de mettre en place un gestionnaire de mots de passe, je sais pas moi dans une entreprise où il y a 500 salariés, il y a un gros taf de départ à faire.

[Bryan] Oui, il y a un gros taf de départ à faire, il y a un accompagnement des utilisateurs à la conduite du changement, enfin oui bien sûr, il y a du travail, mais en même temps on reparlera après des conséquences. Ah oui, non mais je suis d’accord. C’est absolument désastreux, donc voilà, ça révèle aussi cet aspect, le manque de sensibilité à la sécurité informatique, ça révèle aussi un autre truc, c’est que c’est un manque de temps sur le fait d’avoir bien configuré ces réseaux sociaux.

Parce que souvent, en fait, on s’est lancé rapidement sur les réseaux mais on n’a pas mis en place toutes les mesures proposées par les réseaux pour bien sécuriser les comptes. Aujourd’hui, tu crées un compte sur Instagram, Instagram te demande presque d’activer la double authentification, t’as presque plus le choix aujourd’hui. Voilà, donc parfois on va un peu trop vite, on se lance sur un nouveau réseau sans se poser la question de bien tout configurer pour se dire, si un jour on a un problème, comment récupérer les infos ?

Tu vois, c’est pareil, il y a beaucoup d’exemples où j’ai des boîtes qui n’avaient pas configuré l’adresse de récupération du compte. Ils pensaient qu’en fait, l’adresse qui était écrite sur leur profil, ça correspondait à l’adresse de récupération, alors que ce n’est pas du tout la même chose. Là, c’est pareil, à un moment donné, il y a une problématique.

Et ça révèle aussi un autre truc, c’est un manque de connaissance sur les évolutions techniques des réseaux. Parce que la plupart du temps, dans les cas d’attaque, il y a une faille que sous-estiment beaucoup de boîtes, notamment sur Meta, c’est la liaison Facebook-Instagram entre la page Facebook et le compte Instagram. Ça, c’est un truc qui est assez nouveau, ça fait à peu près deux ans que Meta encourage toutes les boîtes à le faire, c’est-à-dire de lier la page Facebook avec le compte Instagram.

Et il y a beaucoup de personnes qui ne savent pas vraiment ce sujet-là, et qui ne l’ont pas fait. Et quand c’est pas fait, il faut savoir que t’as beau écrire à Meta en disant « je me suis fait pirater mon compte Instagram », souvent Meta te dit « oui, mais en fait comme ils étaient pas liés à une page Facebook, on peut rien faire. » Tout comme le fait qu’il y a plein de boîtes qui n’ont pas trop suivi le sujet des business managers, dont on a déjà beaucoup parlé, et qui se rendent compte au bout d’un moment qu’en fait, ça aurait été plutôt pas mal de se pencher sur cette nouvelle fonctionnalité qui est proposée depuis des années sur Meta, parce qu’en fait dans certains cas, ça aide à résoudre les problèmes.

Donc voilà, ça révèle aussi parfois un manque de suivi des fonctionnalités technologiques des réseaux sociaux et clairement, j’incite toutes les boîtes au moins à suivre un peu comment leurs outils évoluent.

[Gwen] Et alors du coup, tu nous disais qu’on allait parler des conséquences tout à l’heure, est-ce qu’on pourrait déjà évoquer les risques, au-delà du fait que ça soit chiant ?

[Bryan] Ouais, alors, sur les risques, le risque qu’on observe le plus quand même, c’est de tomber en fait dans un cas d’extorsion. C’est-à-dire, j’ai perdu l’accès à mon compte Instagram, à ma page LinkedIn, quelqu’un a récupéré l’accès et finalement me demande une rançon pour récupérer les accès. C’est ce qu’on appelle un cas d’extorsion et ça, c’est ce que j’observe le plus aujourd’hui dans les cas qu’on a amené à traiter, c’est vraiment ce risque d’extorsion qui est quand même réel.

Alors bien sûr, tous les spécialistes de la cyber-sécurité vous diront, et moi aussi, on ne paye jamais de rançon. Jamais, jamais, jamais. Il y a d’autres solutions possibles, et parfois la solution c’est aussi de recommencer de zéro, on en parlera après, mais on ne paye jamais de rançon puisque du coup c’est un peu entretenir la machine, si tu veux.

Donc ça c’est le premier risque, c’est le risque d’extorsion. Il y a aussi un risque d’essayer d’être, d’assimiler son image à des contenus illicites ou moralement douteux, parce qu’en fait, souvent quand on va se faire pirater sa page ou son compte Instagram, parfois la motivation qu’il y a derrière ce n’est pas forcément de nous demander de rançon, c’est plus d’avoir un compte propre pour diffuser de la publicité plutôt illicite. Le cas dont je parlais tout à l’heure avec l’histoire de la connexion en octobre pour la page piratée en janvier, c’est exactement ça, c’est-à-dire qu’en fait la motivation des attaquants c’était de récupérer un compte propre, plutôt clean, donc c’était une page Facebook, pour pouvoir diffuser des réels pour de la lingerie, donc plutôt dénudé, ce qui est interdit par Meta, mais le temps que Meta nous tombe dessus, comme on est identifié comme compte propre, ça peut permettre d’avoir 2-3 semaines de temps devant soi pour faire de la publicité ou même des posts organiques tout simplement, pour vendre des contenus qui ne sont pas forcément autorisés par Meta. Donc voilà, il y a ce risque aussi d’être assimilé à des publicités ou des contenus auxquels, un, ça n’a aucun rapport avec nos secteurs d’activité, et deux, en plus d’associer son image à quelque chose qui n’est pas forcément une image avec laquelle on est très à l’aise. Donc voilà, et puis il y a un risque aussi de détournement de fonds réel, parce qu’on a beaucoup aussi d’attaques qui visent à accéder à des comptes publicitaires, où il y a une carte bancaire renseignée, pour diffuser de la publicité malveillante, pour des produits de dropshipping qui viennent des pays d’Asie, ou même pour valoriser aussi des sujets publicitaires qui sont interdits aussi par Meta, comme les bitcoins, les casinos, etc.

Donc voilà, il y a aussi ce sujet-là, derrière, au-delà de l’image, il y a le détournement de fonds qui est assez concret, et qu’on observe un peu moins que l’extorsion dont je parlais tout à l’heure avec la rançon, mais qui est aussi une réalité.

[Gwen] Ok. Tu as d’autres risques ?

[Bryan] Il y en a plein d’autres, mais c’est déjà bien. Je pense que ça ne sert à rien de trop s’étendre là-dessus, c’est déjà suffisant.

[Gwen] Ça marche. Du coup, dis-nous maintenant, quelles sont les conséquences pour nous qui travaillons dans le social media, de se faire pirater ?

[Bryan] Honnêtement, il y a trois grandes conséquences. La première, c’est de ne plus rien avoir, de ne plus pouvoir gérer sa page pendant des semaines. Parce que parfois, le temps résout le problème, alors des fois ça marche, des fois ça ne marche pas, mais ça ne se résout pas en une journée.

Ça veut dire que des fois, pendant des semaines, il ne se passe plus rien sur ton compte, compte qui parfois est encore en ligne, il n’a pas totalement disparu. Il faut quand même imaginer pour une entreprise ce que ça pourrait représenter, l’arrêt total d’une page Facebook, d’un compte Instagram, d’une page LinkedIn, surtout quand on voit aujourd’hui la proportion de fils d’affaires qui est générée grâce aux réseaux sociaux. Juste imaginer ce qu’il se passerait si pendant 15 jours, on n’a plus accès à son compte Instagram.

Dans certains cas, les conséquences sont minimes, notamment pour des boîtes qui utilisent principalement ce réseau-là pour de l’image, mais dans d’autres, qui sont plutôt des entreprises qui s’appuient énormément sur ce réseau pour faire des ventes en ligne, là c’est dramatique. Imaginons quelqu’un qui vende des glaces à la période de Noël et qui se fait pirater son compte Instagram le 2 décembre. C’est complètement dramatique.

Donc il y a la perte d’accès pendant des semaines, la deuxième conséquence, c’est la perte totale. Au premier cas, c’est quelques semaines où on arrive à récupérer l’accès, il peut y avoir un deuxième cas où on n’y arrive pas du tout, et on perd tout. C’est-à-dire que parfois, on perd des comptes sur lesquels on a mis de l’énergie à développer, parfois sur lesquels on a mis en place des campagnes publicitaires pour recruter des abonnés, pour le faire connaître, etc., pendant des années, donc on a aussi dépensé du temps et de l’argent pour développer ces comptes, pour finalement les perdre et recommencer tout à zéro du jour au lendemain. C’est arrivé à un client qui avait développé un super compte Instagram, quasiment 6000 abonnés sur un territoire régional, donc c’était vraiment plutôt pas mal, c’est un compte d’ailleurs qui était bien animé avec des jolis contenus, des partenaires avec des influenceurs, etc. Du jour au lendemain, ils ont tout perdu, on est reparti de zéro. Et ça, pour la motivation, c’est pas toujours simple, et puis du coup, ça veut dire que tout l’investissement qui avait été fait les années précédentes, c’est un investissement qui est nul, qui est une dépense sur laquelle on ne pourra pas capitaliser.

Donc ça, c’est la deuxième conséquence, sachant que quand tu as ton compte comme ça, où tu perds l’accès total, tu vas recréer un autre, tu vas repartir de zéro sur un autre. Parfois, le compte qui a été piraté, lui, il est toujours en ligne. Alors, il est peut-être plus animé, parce qu’il a été bloqué par Meta, mais parfois, il est toujours en ligne.

Donc, imagine un peu ce qui doit se passer quand tu dois recréer un compte from scratch, et en même temps, essayer d’expliquer la différence avec l’autre compte, qui était un ancien compte officiel. En termes de campagne de com’, c’est gérable, mais du coup, c’est des moyens assez importants. C’est-à-dire qu’on repart de zéro, mais en plus, il faut avoir une campagne de com’ spécifique pour expliquer quelle est la différence avec l’ancien compte.

Donc ça, c’est quand même assez ennuyant. Et puis, la troisième conséquence, c’est que si ta page a été piratée, qu’il y a des contenus illicites qui ont été diffusés sur la page, et que, du coup, on se rend compte que finalement, tu es une entreprise qui n’est pas hyper sensibilisée à la question de la cybersécurité, tu peux aussi perdre de la confiance des gens qui te suivent. Et donc, il y a une conséquence quand même qui peut être dangereuse, c’est pour l’image de marque en elle-même, que la marque, on considère que finalement, elle n’est pas très clean sur le sujet.

Elle l’a pris un peu par-dessus la jambe, et donc du coup, ce qui se passe sur les réseaux sociaux, ça peut presque révéler un problème beaucoup plus large. Et donc, si tu fais de la vente en ligne, là aussi, c’est pareil, la question peut se poser sur les données personnelles des utilisateurs, etc. Donc voilà, il y a des conséquences qui ne sont pas négligeables à court, moyen, long terme.

[Gwen] Ça marche. Est-ce que tu aurais des conseils, même si t’en as un peu distillé à droite à gauche pendant l’épisode, est-ce que tu aurais des conseils à donner aux entreprises sur le sujet ?

[Bryan] Alors, déjà, sur un axe prévention, évitez que ça arrive. Il y a plusieurs choses. La question du mot de passe, je ne vais pas vous le rabâcher, mais mot de passe unique, 12 caractères alphadumériques, etc.

Je vous renvoie à la documentation de l’ANSI, c’est hyper important. Activez la double authentification. Bien configurer ses adresses mail de récupération et notamment sur Meta, s’assurer que la page Facebook est liée à votre compte Instagram et sur Meta, Linkedin, TikTok, etc., avoir un business manager. Il y a d’autres choses, mais déjà, ça, c’est l’action les plus simple à mettre en œuvre qui n’hésite pas à l’action du reste de l’équipe. Et la reco, si jamais ça vous arrive, parce que ça peut vous arriver, ça arrive à tout le monde, comme on le disait tout à l’heure, il y a deux réflexes que je vous conseille d’avoir. C’est un, de documenter la crise.

En fait, de documenter quand est-ce que ça est arrivé, à quelle heure, par quels moyens, quels sont les messages que vous avez reçus, et qu’est-ce que vous faites pour essayer de résoudre le problème, pour comprendre aussi comment ça fonctionne. Et surtout, si vous avez besoin de contacter les supports, les assistants techniques des réseaux sociaux, de pouvoir leur expliquer clairement ce qui s’est passé.

[Gwen] Oui, chaque information est importante.

[Bryan] Hyper importante. Donc, de documenter la crise, et de manière générale, une fois que c’est terminé, une fois que vous avez classifié l’affaire, de faire un retour d’expérience public. C’est pas facile de documenter ce qui s’est passé, mais moi je pense que c’est en partageant ce qui s’est passé, en comprenant ce que d’autres ont vécu, qu’on s’améliore aussi, pour sécuriser ses propres réseaux sociaux.

J’incite vraiment les gens à ne pas avoir honte de cet effet piraté, parce que même quand on est plutôt bien éduqué sur le sujet, ça peut clairement arriver. On n’est pas bien réveillé, un peu fatigué, on fait pas gaffe, on clique sur le mauvais bouton. Ça arrive.

Et ce qui est important, c’est qu’on puisse en parler. Pour pas que ça soit un non-sujet. Parce qu’en fait, c’est un réel sujet.

Aujourd’hui, j’écoute pas assez de retours d’expérience, j’en lis de plus en plus sur LinkedIn, mais j’en écoute pas et j’en vois pas encore assez.

[Gwen] Ça marche. Du coup, pour conclure, qu’est-ce qu’on retient de cet épisode ?

[Bryan] Qu’est-ce qu’on retient de cet épisode ? Ça concerne tout le monde, quel que soit le type d’entreprise. Encore plus quand il y a du turnover, quand il y a beaucoup de monde qui gère les réseaux sociaux, parce que c’est davantage un problème organisationnel que technique.

Le deuxième point, c’est qu’il faut pas attendre que ça nous arrive pour mettre en place des actions préventives, parce que si on attend de le faire, c’est que généralement c’est trop tard. J’ai un client qui m’a encore dit, si j’avais su, je l’aurais fait il y a plus tôt. Mais plutôt, c’est devenu trop tard.

Le troisième point, c’est de bien avoir à l’esprit qu’en fait, très souvent, on ne vous en veut pas à vous directement. On cherche juste les entreprises qui sont les plus malveillantes. Vulnérables.

Merci. Petit lapsus. On cherche les entreprises les plus vulnérables.

C’est pas à vous qui êtes ciblées, même si parfois ça arrive, mais dans la majorité des cas, si je dois extrapoler, je dirais 90% des cas, c’est juste, on cherche les maisons qui sont les plus fréquemment ouvertes.

[Gwen] C’est tout. Merci pour toutes ces explications. Je pense que c’est clair et que ça complète bien l’épisode qu’on avait fait avec Jean-Sylvain qui avait un autre angle il y a quelques années.

On le mettra dans les liens utiles si vous voulez croiser les infos des deux. Merci. Maintenant, vous savez ce que vous avez à faire.

[Bryan] Oui, exactement.

[Gwen] À vous de jouer.

[Bryan] Tout à fait. N’attendez pas.

[Gwen] Merci beaucoup à toi.

[Bryan] Merci Gwen.

[Gwen] On se retrouve très bientôt pour un prochain épisode.

[Bryan] À bientôt.

[Gwen] Quelques mots avant de se quitter. Tout d’abord, vous pouvez retrouver cet épisode sur le blog de l’agence www.keepitsimple.fr rubrique podcast ou sur nos réseaux sociaux. Ensuite, n’hésitez pas à suivre notre agence sur les réseaux sociaux, Linkedin, Twitter, Instagram.

Nous sommes partout sous le nom Agence Ouest Digital. Enfin, pensez à vous abonner sur votre plateforme d’écoute préférée pour être sûr de ne rater aucun épisode du Pod. Allez, je vous laisse et vous dis à très bientôt pour un nouvel épisode du Pod.