Comme vous l’avez peut-être déjà entendu, The Onion est récemment devenu le dernier d’une série de grands organes de presse à être attaqués et à se faire pirater leur Twitter par l’armée électronique syrienne. Ils ont pu reprendre le contrôle assez rapidement, mais dans une tournure surprenante, ils ont également décidé de publier un article de blog détaillant comment leur sécurité a été violée. En révélant les détails de l’attaque et en montrant les techniques utilisées par les attaquants, The Onion aide en fait le reste d’entre nous, nous alertant sur la façon de protéger nos comptes de médias sociaux contre les pirates.
Ce qui est vraiment surprenant, cependant, c’est à quel point les techniques SEA étaient rudimentaires. Au fur et à mesure que la technologie a évolué et changé, les stratégies utilisées par les pirates pour profiter des gens ont également évolué, mais l’attaque contre l’oignon ne fait que vous montrer que les anciennes méthodes peuvent toujours être efficaces, si les employés de l’entreprise ne font pas attention. La SEA n’a fait qu’envoyer un simple e-mail de phishing, et il a suffi qu’un ou deux employés saisissent leurs mots de passe et leurs informations pour permettre aux pirates de prendre le contrôle de leur Twitter.
Dans la foulée de cet événement, il semble judicieux de revoir (si vous êtes de la « génération Internet ») ou de vraiment apprendre (si vous n’avez pas grandi avec les ordinateurs) les bases de la sécurité en ligne, d’autant plus qu’à travers les médias sociaux, votre entreprise peut atteindre des milliers de personnes. Se faire pirater réduira la confiance que les clients vous accordent, et cela, ou bien sûr, est mauvais pour les affaires. The Onion a publié ses propres étapes pour vous protéger contre le piratage. Les voici, avec quelques commentaires de ma part :
« Assurez-vous que vos utilisateurs sont éduqués et qu’ils se méfient de tous les liens qui leur demandent de se connecter, quel que soit l’expéditeur. »
Internet, et donc les affaires sur Internet, évoluent à une vitesse fulgurante, il est donc facile de se laisser submerger par toutes les choses que vous devez faire et tous les sites Web auxquels vous devez vous rendre pour les faire. Il est important de rester vigilant et de ne pas divulguer les informations de connexion à n’importe quel lien qui le demande. Ma règle personnelle est la suivante : si un lien vous demande de vous connecter, ouvrez le site dans un onglet différent, connectez-vous et actualisez la page liée. Si cela ne fonctionne pas, il s’agit probablement d’une tentative de piratage.
« Les adresses e-mail de vos réseaux sociaux doivent se trouver sur un système isolé des e-mails normaux de votre organisation. Cela rendra vos comptes de réseaux sociaux pratiquement invulnérables au phishing (à condition que vous utilisiez des mots de passe uniques et forts pour chaque compte). »
Prenez vraiment au sérieux l’utilisation de mots de passe uniques. Les informations personnelles seront toujours faciles à retenir, mais utiliser votre date de naissance ou le nom de votre animal de compagnie n’est généralement pas une bonne idée. Au lieu de cela, « codez » votre citation ou votre chanson préférée en remplaçant les lettres par des chiffres ou en utilisant la première lettre de chaque mot. La célèbre citation de Shakespeare « Être ou ne pas être, telle est la question » devient quelque chose comme « 2b0rn0t2btisq ». (Vous devriez probablement choisir quelque chose d’un peu moins connu, cependant.) Si vous voulez que votre mot de passe soit plus sécurisé, utilisez un générateur de mot de passe aléatoire et créez un dispositif mnémonique pour vous aider à vous en souvenir. Vous pouvez également utiliser des gestionnaires de mots de passe comme LastPass et OnePassword.
« Toute activité sur les réseaux sociaux doit passer par une application quelconque, telle que HootSuite. La restriction de l’accès à vos comptes par mot de passe empêche un pirate de s’en emparer totalement, ce qui prend beaucoup plus de temps à corriger. »
L’utilisation d’un système de gestion des médias sociaux érige simplement un autre mur entre vous et les pirates. Plus vous devrez entrer de mots de passe, plus il vous sera difficile de vous faire pirater.
« Si possible, ayez un moyen de contacter tous vos utilisateurs en dehors de leur messagerie organisationnelle. Dans le cas du piratage du Guardian, la SEA a publié des captures d’écran de plusieurs e-mails de sécurité internes, probablement à partir d’une adresse e-mail compromise qui a été ignorée. »
