De temps en temps, je reçois une demande d’ami non sollicitée sur les réseaux sociaux d’une femme séduisante faisant une pose suggestive dans sa photo de profil.
Cette histoire nous contée par Matt Boddy depuis la maison mère en Angleterre mais c’est une pure histoire vraie !
Je ne dis pas cela pour vous prouver que je reçois parfois des demandes d’amis en provenance de femmes attirantes. La personne sur la photo de profil de ce type de comptes ne ressemble probablement pas à la personne qui demande véritablement à me suivre ou à devenir ami.
Très souvent, ce sont des comptes piratés utilisés par un cybercriminel pour exploiter vos désirs sexuels.
Je vais vous raconter comment des pirates ont utilisé, contre moi, mes propres données personnelles, qui ont à priori été divulguées, pour se connecter à mon compte Instagram.
En avril 2012, Instagram a été lancé sur les appareils Android. Alors que la popularité de l’application Android se développait, j’ai alors ouvert un compte Instagram et uploadé une seule photo pour voir de quoi il s’agissait. J’ai ensuite supprimé l’application et je ne me suis plus connecté à celle-ci avant 2015.
Lorsque je me suis connecté de nouveau, j’ai pu constater que mon compte suivait des milliers de personnes que je ne connaissais pas.
Oui, c’est vrai, mesdames et messieurs, j’ai peut-être moi-même déjà été une femme séduisante prenant des poses suggestives pour inciter les utilisateurs à me suivre ou à cliquer sur un lien. Eh bien oui, mon compte Instagram piraté aurait très bien pu faire une telle chose !
J’ai eu alors des millions de questions qui m’ont traversé l’esprit pour savoir comment cela avait pu se produire. En 2015, ma carrière dans la cybersécurité commençait à peine et, pour m’éviter l’embarras de posséder un compte piraté, j’ai immédiatement changé le mot de passe et supprimé tous les comptes inconnus.
4 ans plus tard, je pense savoir ce qui s’est passé !
De temps en temps, dans l’actualité, nous voyons une entreprise victime d’une violation de données. Ces dernières peuvent inclure des éléments tels que des mots de passe et des adresses électroniques. Entre 2012, lorsque Instagram a été lancé, et 2015 lorsque je me suis connecté à mon compte, un certain nombre de failles de sécurité majeures ont été constatées, notamment chez Yahoo, Adobe, eBay, JP Morgan, LinkedIn et Target.
Il est très probable que quiconque se soit connecté à mon compte Instagram dormant utilisait une méthode appelée credential stuffing.
Le credential stuffing est une technique, utilisée par des cybercriminels, consistant à récupérer les mots de passe émanant d’une violation de données d’une société A pour se connecter à une application web de la société B. Une telle technique suppose que la victime (moi) ait réutilisé mon mot de passe ailleurs.
Maintenant, je sais ce à quoi vous pensez : “Mais n’avez-vous pas un mot de passe différent pour chaque compte ?” Eh bien, maintenant oui, c’est le cas. Malheureusement, en 2012 je n’étais pas aussi sensible à la cybersécurité que je ne le suis aujourd’hui.
Conseils en matière de sécurité
Comment savez-vous que votre compte Instagram ou un compte de réseau social a été compromis ?
Si vous constatez que votre compte Instagram commence à suivre des personnes inattendues, que la photo de votre profil a changé à votre insu et que votre bio propose soudainement de “cliquer ici pour une discussion privée 😉” ou pour toute chose dans le même style aguicheur, il est possible que vous ayez été piraté !
Instagram vous conseille de changer votre mot de passe immédiatement et de révoquer l’accès à toute application tierce suspecte.
Que votre compte ait été piraté ou non, voici ce que vous pouvez faire pour renforcer la sécurité de vos comptes sur les réseaux sociaux :
- Ne réutilisez pas les mots de passe pour différents services ! C’est une excellente occasion pour configurer et utiliser un gestionnaire de mot de passe. Il va générer et stocker un mot de passe unique pour chaque site web sur lequel vous vous inscrivez.
- Configuration le 2FA ! Instagram ainsi que de nombreuses autres plateformes de réseaux sociaux prennent désormais en charge l’utilisation de l’authentification à deux facteurs (2FA) afin que vous n’ayez pas à vous fier uniquement à votre mot de passe.
- Supprimer le compte, et pas seulement l’application ! Si vous avez décidé que vous ne voulez plus utiliser l’application, ne la supprimez pas simplement comme je l’ai fait. Découvrez comment vous pouvez supprimer votre compte et faites donc aussi cette étape supplémentaire !
Billet inspiré de How my Instagram account got hacked, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.