Panne de réseaux sociaux, sites et applications, piratage, fuites de données personnelles… Suite aux événements du 4 octobre dernier, le géant des médias sociaux Facebook semble plus fragile que jamais ! Découvrez comment vous protéger des cybers menaces qui pèsent, en fait, sur tous les réseaux sociaux qui vous incitent à fournir vous-même du contenu à haute valeur personnelle.
Tout le monde sait maintenant qu'une bonne recherche sur internet permet de constituer ou re-constituer une collection d'informations personnelles importante sur vous-même - ou n'importe qui, d'ailleurs. Ce que l'on appelle dans le jargon du "social engineering" et qui permet à un hostile quelconque de rassembler plein de détails de votre vie personnelle. Directement ou par recoupements successifs, il pourra utiliser sa manne de renseignements gratuits pour usurper votre identité, ouvrir un compte en banque à votre nom mais à son profit, obtenir des papiers d'identité falsifiés, faire des achats en ligne, souscrire un emprunt etc etc etc.
Cela prend un peu de temps, mais ne coûte rien, et les pirates ne s'en privent pas. Le phénomène est courant, même si l'on ne dispose pas de statistique précise : les victimes l'ignorent souvent, et souvent ne portent pas plainte - dès lors qu'elles ont remboursées par leur banque si elles ont pu prouver l'usurpation. Quant aux comptes de services publics erronés, tout le monde s'en tape (à tort).
Les banques sont elles-mêmes quelque peu complices de ce genre d'arnaque, tant elles sont peu regardantes sur la validité et la véracité des justificatifs qu'elles demandent. On a vu des banques ouvrir un compte avec des photocopies de carte d'identité vulgairement contrefaites avec du Tipp-Ex (ou autre marque, bien entendu).
Depuis toujours, en matière de cybersécurité, nous avons puisé des idées dans l'histoire de l'espionnage et du contre-espionnage. Par exemple, dès l'antiquité, la notion de cloisonnement des secrets politiques ou militaires était de mise : une de nos recommandations en matière de sécurité en est directement issue. "Diviser pour mieux régner", "ne pas mettre tous ses œufs dans le même panier" : même la morale populaire et les recettes de bonne fame sont remplies de ce précepte. Aujourd'hui, on confiera ses archives précieuses à plusieurs partitions de disque dur, mieux encore à plusieurs serveurs physiquement déparés, protégés en accès par des voies différentes et avec une politique d'autorisations d'accès bien pensée (notamment des mots de passe complexes et différents, changés régulièrement : voir ici par exemple).
L'attitude de prudence est toujours d'actualité.
Cependant, publier ses actions sur les réseaux et rassembler un nombre de contacts important reste un besoin humain (de socialisation et de reconnaissance, des besoins supérieurs selon A. Maslow).
C'est un peu de la vanité*évidemment, mais c'est humain.
Si vous voulez protéger quasi-définitivement vos données personnelles sur les réseaux, optez pour le pseudonyme.
Pratique prohibée par les règlements internes des réseaux (mais ils n'ont aucun moyen de faire respecter cela), c'est pourtant ce que font des millions de jeunes geeks qui veulent s'amuser sur les réseaux sans marquer à jamais leur profil réel.
Il est extrêmement facile de créer une adresse mail sous pseudo chez les opérateurs de masse tels que Gmail, Orange ou encore Yahoo - et tant d'autres. Choisissez un prénom et un nom crédible qui vous plaise bien et hop ! Une adresse mail est la clef nécessaire et suffisante pour créer des profils et les gérer, recevoir et répondre aux messages de vérification et de maintenance des profils.
Ne donnez pas votre numéro de téléphone, en général ce n'est pas exigé. Les puristes donnent un numéro de portable sur un téléphone acheté en liquide au tabac du coin (dans les30 € avec un crédit de quelques heures de communication et SMS) et els opérateurs demandent de prouver une identité pour activer la puce mais ne vérifient rien.
Donnez donc une adresse postale bidon si on vous la demande. A proximité, la géolocalisation peut servir de temps en temps.
Donnez une date de naissance inventée mais crédible (de personne majeure sinon vous n'aurez pas accès aux fils d'info "adultes").
Mettez une photo de profil glanée sur le net ou dessinée.
Chargez quelques photos d'album qui vous plaisent bien (des paysages ?) pour noyer un peu le poisson.
Remplissez votre profil d'un cursus inventé, en tout cas bien dilué par rapport à la réalité. Tout ce contenu dédié à l'intox pourra être complété du contenu que vous souhaitez partager avec vos vrais amis ; vous pouvez même convenir avec eux d'un mot-code inséré dans le commentaire d'une photo ou une publication afin qu'ils discernent facilement le bon du faux.
Ne faites pas cela lorsque vous utilisez un réseau sérieux à but de repositionnement professionnel comme LinkedIn, Xing ou JDN Viadeo : sur ces sites, vous filtrez de toutes façons les infos pour ne garder que celles qui sont à votre avantage professionnel et vous ne mettez pas d'info ou de photo sur votre vie personnelle. N'oubliez pas que, même supprimée par vos soins, toute publication reste à vie sur internet, chargée et copiée des milliers de fois par les moteurs de recherche et accessibles dans leur cache.
Bien entendu, un analyste "profiler" professionnel arrivera quand même à vous tracer, par recoupement depuis les comptes de membres de votre famille ou de cercles divers ; mais cela lui donnera du fil à retordre et le résultat sera plus difficile à exploiter.
Prospérez sur les réseaux ! Vous communiquerez votre pseudo à vos vrais familiers (amis réels, famille, relations sérieuses) ; amusez-vous bien. Les autres contacts, c'est juste pour se laisser gonfler les chevilles à pas cher. Ou selon des centres d'intérêt qui ne sont pas toujours avouables.
Bonne journée.
Sinon, si vous voulez absolument rester dans les clous, lisez ici les conseils d'une société de sécurité honorablement connue.
C.R.
* N'oublions jamais que nous ne sommes que des mortels.