Réseaux sociaux : "Il faut oublier le mot de passe et faire des phrases de passe" (Interview)

À force de subir des fuites et autres pannes à répétition, les réseaux sociaux risquent d'avoir du mal à se réconcilier avec le mot « sécurité ». Il est toutefois possible de se prémunir de certains risques.

Avons-nous jamais été en sécurité sur les réseaux sociaux ? Benoît Grunenwald, expert en cybersécurité chez ESET France, nous aide à répondre à cette question à la lumière des nombreux incidents et fuites de données subies par de grandes plateformes comme Facebook ou Twitch cette année. Le spécialiste, que nous avons rencontré lors des Assises de la sécurité 2021 à Monaco, en profite aussi pour distiller quelques conseils bienvenus.

L'interview « réseaux sociaux » de Benoît Grunenwald

Clubic : Fuites, pannes... les réseaux sociaux ne sont pas épargnés par les polémiques ces derniers temps. On a tous en mémoire l'incident Facebook du début du mois d'octobre. D'où viennent ces pannes généralement ?

Benoît Grunenwald : Bien souvent, elles viennent d'attaques DDoS (attaque par déni de service). Ici, on est sur une cyberattaque dans laquelle un très grand nombre de points, par exemple des objets connectés ou des ordinateurs, vont lancer des requêtes sur le site ou l'infrastructure en question, et à partir de là, les requêtes légitimes, la vôtre, la mienne, pour consulter nos comptes, vont être noyées dans cette masse, et nous n'arriveront pas à accéder au réseau.

Ensuite, vous avez toutes les erreurs humaines, et on l'a vu aussi avec Facebook. Jusqu'à preuve du contraire, il s'agit d'une erreur rencontrée lors d'une mise à jour d'un élément un peu spécial sur le réseau, le routage des différents paquets qui vont aller jusqu'au serveur de l'écosystème Facebook.

« Pour Twitch, la fuite est une très grosse perte, à la fois en image et au niveau industriel »

Qui a intérêt à frapper Facebook par le biais d'une attaque DDoS ?

Si rien n'est impossible, il semble compliqué que cela puisse être un particulier, même si on sait que l'on peut trouver des « ressources » sur le dark Web voire même ailleurs, avec un peu de ténacité. Le particulier aurait toutefois beaucoup de risques de se faire retrouver. On l'a vu aussi récemment avec la fuite massive de données (1,4 million d'entrées) de l'AP-HP, à l'issue de laquelle la police a fini par mettre la main sur un étudiant situé en France. On peut très bien imaginer que les attaquants soient des entreprises concurrentes à la manœuvre, ou des États avec un objectif de déstabilisation politique.

L'une des grandes fuites que l'on retiendra de cette année 2021, c'est le Twitch Leak, avec 125 Go de données dérobés…

Oui, c'est de la folie. Pour Twitch, c'est une très grosse perte, à la fois en image, parce que les streamers ont vu leurs revenus sortir au grand jour, et à la fois au niveau industriel. La plateforme avait des projets encore secrets qui se sont retrouvés dans la nature, avec les plans d'une plateforme concurrente de Steam. Donc cette fuite d'informations, même si elle n'a pas été orchestrée par des concurrents, va potentiellement leur bénéficier.

On en revient à notre question de départ... Peut-on aujourd'hui être en sécurité sur les réseaux sociaux ?

Il y a un contrat qui est très simple avec les réseaux sociaux : à partir du moment où vous allez créer un compte, vous devez le sécuriser. Ce compte-là nécessite donc un login, un mot de passe et, si cela est possible, ajouter l'authentification à deux facteurs. Le thème du mois de la cybersécurité était justement le mot de passe, cette année.

Pour moi, il faut oublier le mot de passe et faire des phrases de passe. À partir du moment où on a un mot de passe qui serait une succession de lettres, de caractères complètement inintelligibles, on ne va pas réussir à le retenir, tandis que si on fait une phrase du type « Aujourd'hui-Nous_Sommes2Aux-Assises21-DeLaSecuritéÀMonaco85 », que l'on a soupoudré de caractères spéciaux, de chiffres et d'espaces, on franchit un cap dans la sécurisation. Là, on est sur un mot, enfin une phrase de passe, fort, unique, qui va être très difficile à retrouver pour un cybercriminel, qui devrait donc passer à un autre compte, plutôt que de s'acharner sur le nôtre.

« Les hackers agrègent toutes les fuites de données consciencieusement »

Malgré ces fuites à répétition, les gens, notamment les plus jeunes, ont encore du mal à prendre conscience que le mot de passe peut être plus fortement protégé, ce qui fait qu'on se retrouve parfois avec des mots de passe très simples...

C'est en effet déconcertant… On discutait à ce sujet avec l'Association e-Enfance, qui aide les jeunes victimes de cyber-harcèlement. Certains nous disaient que partager son mot de passe avec un tiers, avec un ami constitue une sorte de preuve de confiance. Ce n'est pas à faire, bien entendu, mais il y a des comportements malheureusement liés au numérique et qui sont parfois irréfléchis.

Au quotidien, comment les réseaux sociaux luttent contre ces attaques DDoS ? Existe-t-il des moyens pour prévenir ces cyberattaques ?

Les réseaux sociaux eux-mêmes se protègent, parce qu'ils veulent éviter qu'une panne ne survienne et pousse les utilisateurs à aller sur d'autres plateformes, avec le risque qu'ils ne reviennent plus. Donc ils ont tout intérêt à protéger leurs utilisateurs. Sur le cyber-harcèlement, on le voit, TikTok fait énormément d'efforts pour créer des comptes familiaux, pour protéger et mettre en relation les parents et les enfants. On le voit aussi chez d'autres éditeurs ou fournisseurs de services, qui vont dans certains cas pousser l'utilisateur à adopter l'authentification à deux facteurs de sécurité.

Facebook a aussi récemment subi une « fuite », les guillemets sont de rigueur, de 1,5 milliard de données. Ces données proviennent d'anciennes fuites et potentiellement de données accessibles publiquement. Il faut donc aussi faire attention au niveau de la communication ?

Il faut faire très attention, en effet, parce que les cybercriminels, dont le métier est de nous attaquer nous en tant que particuliers, agrègent toutes les fuites de données consciencieusement, surtout si elles contiennent notre identifiant (souvent une adresse e-mail), un mot de passe (qu'il soit en clair ou chiffré), et ensuite des informations personnelles. Au plus ils ont des informations de ce type-là, au plus ils vont pouvoir nous envoyer des e-mails très ciblés. Si par exemple vous êtes concernés par la fuite liée à l'AP-HP et à votre test COVID, ils sont capables de vous envoyer un e-mail en écrivant « vous avez passé un test à telle date, celui-ci est positif, négatif... ». Du coup, ça nous met en confiance, parce qu'on voit que l'information envoyée n'est pas destinée à tout le monde, que le message est très personnalisé, ce qui rend l'hameçonnage encore plus efficace.

« Beaucoup d'arnaques varient selon le réseau social et donc en fonction de la tranche d'âge des utilisateurs »

Quelles arnaques ont pu notamment découler de ces fuites de données issues des réseaux sociaux ?

Sur les réseaux sociaux, nous allons avoir une myriade de cybercriminels qui vont s'intéresser à nous : soit en nous demandant en ami pour faire monter la notoriété d'un compte qui va ensuite servir à faire des arnaques, ce qui arrive assez fréquemment ; soit en utilisant des comptes illégitimes pour faire des jeux concours qui ne feront rien gagner, d'une part, tout en vous demandant de participer aux frais d'envoi. En fait, vous allez donner votre carte bancaire, votre RIB, mais derrière, il n'y a rien. Beaucoup d'arnaques varient selon réseau social et donc en fonction de la tranche d'âge des utilisateurs. Si vous êtes un étudiant qui navigue plutôt sur Instagram, vous allez avoir l'envie de gagner des vêtements de luxe, des petits cadeaux, des jeux. Souvent, l'arnaque est aussi liée au pouvoir d'achat de celui qui est visé. On ne demandera pas la même chose à un jeune et à un senior.

Pour finir, quelle est l'actualité du moment chez ESET ?

Pour protéger les particuliers, nous avons sorti, mi-octobre, une nouvelle version de notre solution, qui facilite, pour l'utilisateur, la gestion quotidienne de la protection, que ce soit le contrôle parental ou la perte du mobile. On s'aperçoit que dans 25 % des cas, lorsqu'on perd son mobile et qu'on a installé l'application ESET, on arrive à retrouver son mobile en mettant un petit message à celui qui l'a trouvé. Cette solution coûte une trentaine d'euros.