Faites-vous assez pour empêcher les escrocs de détourner vos comptes de réseaux sociaux?
Même si vous avez choisi un mot de passe fort et unique pour votre présence en ligne et activé l’authentification à deux facteurs, il est possible que vous ayez négligé une autre façon dont les cybercriminels pourraient réquisitionner vos comptes de médias sociaux et envoyer un message à vos abonnés.
C’est une leçon que l’entrepreneur Internet Carl Pei, co-fondateur de la société de smartphones OnePlus, a, espérons-le, apprise après que des fraudeurs de crypto-monnaie aient utilisé son compte Twitter pour envoyer un message frauduleux à ses 330000 abonnés cette semaine.
Le message frauduleux a annoncé que la nouvelle société de Pei (qui s’appelle littéralement «Rien») entrait dans le monde de la crypto-monnaie et a invité les abonnés à envoyer leur crypto-monnaie Ethereum dans un portefeuille s’ils voulaient investir dans le projet.
Comme Pei décrit, des pirates ont pu publier le message après avoir compromis son compte IFTTT:
Grâce aux autorisations accordées à mon @IFTTT qui a été piraté, ce Tweet a été injecté en demandant votre ETH. Veuillez ne pas envoyer d’ETH ou vos informations personnelles à des comptes de crypto-monnaie prétendant être @Rien. J’ai supprimé toutes les applications tierces se connectant à mon Twitter.
IFTTT (If This Then That) est une plate-forme en ligne pratique qui permet aux utilisateurs d’Internet d’automatiser les processus entre une grande variété d’applications, d’appareils et de services. Par exemple, vous pouvez programmer une ampoule connectée à Internet sur votre porche pour qu’elle s’allume lorsqu’une pizza est sur le point d’être livrée, ou tweeter automatiquement les photos que vous publiez sur votre compte Instagram si elles ont un certain hashtag.
Pei avait connecté IFTTT à son compte Twitter, probablement pour automatiser la publication de certains tweets. Ce n’est pas inhabituel – en fait, c’est quelque chose que j’ai fait moi-même il y a quelques années.
Mais cela signifie que vous devez connecter IFTTT à votre compte Twitter, en lui accordant des autorisations de publication. Et cela signifie que si votre compte IFTTT est compromis, ou si un autre service tiers que vous avez lié directement ou via IFTTT pour tweeter des messages est détourné, vous n’avez plus le contrôle total sur ce qui est partagé avec vos abonnés Twitter.
Et c’est pourquoi il est si important que vous fassiez attention aux applications tierces, le cas échéant, que vous vous connectez à vos comptes de réseaux sociaux. Une fois qu’une application est connectée, peu importe si vous changez, par exemple, votre mot de passe Twitter – l’application tierce a toujours accès à votre compte et peut profiter de toutes les autorisations que vous lui avez accordées.
Voici comment révoquer l’autorisation d’une application tierce d’accéder à votre compte Twitter:
- Aller à la Applications et sessions section des paramètres de votre compte. Toutes les applications connectées à votre compte seront affichées. Ici, vous pouvez voir les autorisations spécifiques dont dispose chaque application pour utiliser votre compte – certaines peuvent uniquement avoir un accès en lecture, d’autres peuvent avoir lecture et écriture, tandis que d’autres peuvent même avoir accès à vos messages privés directs.
- Clique le Accès révoqué à côté de l’application que vous souhaitez déconnecter de votre compte.
Mais vous pouvez également prendre des mesures pour renforcer votre sécurité, sans révoquer une application particulière. Par exemple, il semble que ce soit le compte IFTTT de Carl Pei qui a été compromis. Si Pei souhaite toujours utiliser son compte IFTTT de cette manière, il peut souhaiter non seulement modifier le mot de passe associé à ce compte, mais également activer la vérification en deux étapes (2SV).
L’activation de l’authentification à deux facteurs ou de la vérification en deux étapes sur vos comptes en ligne ajoute une couche de sécurité supplémentaire au-delà du simple fait de se fier aux mots de passe.
Personnellement, je recommanderais à tout le monde de vérifier la liste des applications qu’ils ont connectées à des comptes de médias sociaux comme Twitter. Trop souvent, vous constaterez que vous avez peut-être laissé une application tierce liée à votre compte à laquelle vous n’utilisez plus ou ne faites plus confiance. Si vous n’avez pas une bonne raison de le conserver, ou si vous ne le reconnaissez pas, ou si vous ne lui faites plus confiance, supprimez ses droits de publication en votre nom.
Note de l’éditeur: Les opinions exprimées dans cet article de l’auteur invité sont uniquement celles du contributeur et ne reflètent pas nécessairement celles de Tripwire, Inc.