Lors de la Conférence RSA à San Francisco, j’ai assisté à un comité qui soulevait une question pertinente concernant le monde des données massives dangereuses auxquelles nous sommes tous confrontés. Ian Zamit de Zerofox a présenté une conférence sur comment l’utilisation des réseaux sociaux pouvait être exploitée par les cybercriminels dans le but de cibler les individus afin d’infiltrer une entreprise.
En théorie, c’est plutôt simple. On publie de nombreuses données pouvant être accessibles aux yeux de beaucoup de monde, y compris des cybercriminels en mesure d’en tirer profit pour aider à infiltrer une entreprise.
Qu’est-ce qui fait de vous une cible potentielle ?
En principe, il s’agit d’une idée assez plausible. On sait déjà que les sites des réseaux sociaux sont les principales cibles face aux méthodes d’hameçonnage. Si on est au courant, les hackers le sont aussi. En exploitant des données massives, ils se concentrent vers des personnes considérées comme étant des proies faciles ou cible principale d’une attaque.
Did you know that #socmedia sites are prime areas for phishing schemes? Find out more: https://t.co/eNlAvarhAy #SMM pic.twitter.com/8k12NuAdIp
— Kaspersky (@kaspersky) December 12, 2015
Dans ce discours, Amit a indiqué que certains facteurs pouvaient augmenter le risque pour quiconque d’être ciblé, notamment les individus qui postent activement des sujets conflictuels tel que le sport, la politique, la religion et certains sujets de société. Dans certains de ces domaines, une personne fortement engagée en faveur d’un homme politique X, (qu’on appellera Bernie Trump), pourrait cliquer ou partager des liens provenant de faux comptes publiant des articles similaires aux originaux, mais à la place de messages de campagne se trouverait un lien d’hameçonnage.
Vous pouvez également devenir une cible potentielle si vous travaillez dans le service informatique, de communication ou financier de votre entreprise puisque ces derniers sont tous reliés concernant des informations sensibles sur la société. Les cadres supérieurs et membres du conseil d’administration sont également concernés.
Qu’est-ce que vous pouvez-faire ?
La manière la plus simple et la plus rapide d’y répondre est de suivre les pratiques exemplaires et fondamentales de la cybersécurité. Cela signifie qu’il ne faut pas cliquer sur des liens vous paraissant peu sûrs, et n’ouvrir seulement que des fichiers dont vous avez connaissance qu’ils sont certifiés et dont l’expéditeur est connu. Ce dernier est certainement le plus important comme nous avons pu le voir avec le cas de Snapchat, victime de la méthode de l’hameçonnage.
#ICYMI Snapchat caught in a #phishing campaign #somedia https://t.co/9F9dgrnzuS pic.twitter.com/7TYjKZOIAW
— Kaspersky (@kaspersky) February 29, 2016
Vous devriez également être vigilant concernant les demandes d’inconnus sur les réseaux sociaux. Les faux comptes peuvent vraiment vous causer du tort.
Les entreprises devraient-elles utiliser ce type de profilage ?
L’usage des données massives pour évaluer les risques semble être prématuré pour le marché. Plusieurs entreprises n’exploitent pas pleinement le pouvoir des données massives alors qu’elles ont des millions de clients. Il semble donc peu probable d’envisager une adoption de masse lorsqu’il s’agit d’entreprises de milliers d’employés.
Je suis certain qu’il existe de nombreux cas d’entreprises qui le font mais je pense que ces dernières pourraient tomber dans les griffes d’organisations extrêmement sensibles ou controversées.
Comment puis-je protéger mes profils sur les réseaux sociaux ?
L’´équipe de Kaspersky Daily vous a déjà informé par le biais des articles ci-dessous concernant les pratiques exemplaires de sécurité à adopter vis-à-vis des réseaux sociaux.