Vous avez peut-être vu passer cette nouvelle, un peu plus tôt cette semaine, comme quoi le compte Twitter du Ministère de la Culture en France était passé entre les mains d’un coquin de 13 ans. Celui-ce serait supposément le fils de la gestionnaire de communauté, qui aurait laissé son ordinateur sans surveillance, avec les accès au compte en question…
Le compte Twitter du ministère de la Culture @MinistereCC en roue libre ce soir pic.twitter.com/ivs2NMmWxv
— Benjamin Hue (@benjaminhue) July 18, 2017
Puis, toujours cette semaine, plusieurs d’entre vous auront reçu cette fameuse alerte en provenance d’un ami ou connaissance de votre réseau, vous avertissant de ne pas accepter d’invitation de Jayden K. Smith… tout en vous demandant de retransmettre le tout à votre réseau… pour ainsi propager encore plus cette fausse nouvelle et hoax potentiel.
Ce genre de message n’est pas nouveau: rappelez-vous les chaînes de courriel qui demandait de transmettre à au moins 9 de vos amis afin de trouver le bonheur éternel, les histoires testamentaires d’un riche notaire africain, sans parler des appels téléphoniques douteux en provenance d’un pays étranger, prétendant être de votre institution bancaire et vouloir bloquer une fraude… en vous demandant bien sûr les accès à votre compte pour régler le tout!
Bref, la fraude et les messages frauduleux ont toujours existé, mais comment peut-on éviter les multiples pièges et tentatives de hacking à l’ère des médias sociaux? Voici quelques trucs de base pour vous aider.
Modifier le mot de passe régulièrement
On ne le dira jamais assez souvent, mais on devrait changer nos mots de passe sur une base régulière. Certains avancent que cela devrait être fait sur une base trimestrielle. Le fait-on? Presque jamais. J’ai récemment changé mon mot de passe pour Google et réalisé que je ne l’avais pas modifié depuis deux ans. Je tiens également un registre de tous les mots de passe utilisés sur différentes plateformes et j’ai fait le décompte: 57 mots de passe et noms d’utilisateur. On se comprend, à moins d’être masochiste, on reproduit souvent le même nom d’utilisateur et mot de passe partout… ce qui est à proscrire!
Conseil 1: utiliser des mots de passe variés pour l’ensemble de vos plateforme, mais avec une racine commune. Vous pourrez alors changer uniquement une composante (chiffre, signe de ponctuation) afin de différencier le mot de passe.
Conseil 2: garder un registre avec noms d’utilisateur et mots de passe, et imprimer une copie sur une base régulière. Conserver ce registre dans un classeur non facilement accessible et pas forcément à proximité de votre ordinateur de travail, par exemple.
Conseil 3: ne pas utiliser des mots de passe trop faciles à reconnaitre, par exemple 123456 ou QWERTY (ne riez pas – on estime que c’est le cas pour 40% des mots de passe en circulation!). Attention aussi de ne pas utiliser votre date de naissance ou toute information facile à trouver à votre sujet.
Compter sur deux administrateurs (ou plus)
Que ce soit lors des formations que je donne ou pendant des consultations en entreprise, il m’arrive très souvent de voir des comptes Twitter, des pages d’entreprise Linkedin ou Facebook ainsi que des comptes Google Analytics… uniquement accessibles par l’agence de référence du client ou par un pigiste. Et si la seule personne qui a accès au compte est un employé cadre, il n’en demeure pas moins que l’entreprise est à la merci du départ de cette personne pour perdre les accès.
Conseil 1: avoir au moins deux personnes, voire trois si nécessaire, qui ont un accès “administrateur” sur votre compte dans les médias sociaux. Ainsi, si un administrateur doit quitter l’entreprise (départ volontaire, congédiement, maladie, etc.), quelqu’un d’autre a quand même les accès afin de continuer d’opérer.
Conseil 2: revisiter les niveaux d’accès sur vos comptes. Est-ce que tout le monde qui y figure présentement doit nécessairement avoir un accès “administrateur”? Sur Facebook ou Google Analytics, par exemple, on peut donner des accès variables: éditeur, contributeur, publicitaire, analyste.
Demander la double vérification
La plupart des plateformes numériques proposent une forme de double vérification afin d’assurer que vous êtes bel et bien la personne prétendant avoir accès à un compte en question. Dans Facebook, par exemple, allez cliquer sur le triangle inversé, en haut à droite de votre page, et cliquez sur “Sécurité et connexion”. Vous aurez alors accès à une panoplie d’options vous permettant de sécuriser votre compte, d’éviter de vous faire hacker et surtout, vous aurez des resources si jamais vous perdez accès à votre compte.
Ayant activé cette fonctionnalité pour plusieurs de mes comptes sur les médias sociaux, je reçois donc des notifications par exemple si j’accède à mon compte depuis un appareil pour la première fois, ou dans une nouvelle ville. Cela permet de valider rapidement si mon compte est utilisé par quelqu’un d’autre.
Cliquer ici pour accéder à la double vérification avec vos outils Google
Conseil: activer les paramètres qui vous semblent les plus pertinents parmi les options offertes. Si vous trouvez que cela devient trop envahissant au niveau des notifications par la suite, vous aurez toujours le luxe d’aller désactiver les paramètres que vous jugez moins nécessaires.
Être vigilant
Au final, le meilleur conseil est probablement le plus simpliste: soyez vigilants! Dans le cas du Ministère de la Culture en France, comme la gestionnaire de communauté a laissé son ordinateur sans surveillance, elle a été prise de court par son garçon de 13 ans qui a été malin dans les circonstances – l’histoire ne dit pas s’il a été privé de dessert pendant une semaine, mais on soupçonne une punition assez salée…
Déconnectez-vous: comme on l’a vu dans cet exemple en particulier, il est très important de vous déconnecter de votre compte Facebook, Twitter ou autre média social si l’appareil en question – ordinateur de bureau, laptop, smartphone, tablette – est accessible par des collègues ou membres de la famille. Dans le cas d’un accès public, dans un café internet ou autre, alors là aucun doute: assurez-vous de TOUJOURS vous déconnecter avant de quitter.
Ne cliquez pas sur des liens suspects: le dernier conseil est parfois moins évident, mais quand un lien parait suspect, c’est probablement parce qu’il l’est. Attention: des liens douteux peuvent parfois parvenir d’un profil, une personne ou une entreprise, que vous connaissez. Il est possible que le compte ait été piraté, donc attention de ne pas cliquer car souvent cela ouvre l’accès à des logiciels (malwares) qui viennent affecter votre ordinateur… sans parler du piratage potentiel de vos comptes sur les médias sociaux.
Pour terminer, je vous invite également à relire cet article paru l’an dernier et toujours pertinent:
Facebook et vie privée: quelques conseils
Laisser un commentaire