Le compte Instagram de McDonald’s a récemment fait l’objet d’un piratage pour une cryptomonnaie fantoche. Retour sur les basiques pour protéger ses réseaux sociaux.
Le 22 août dernier, un hacker a piraté le compte officiel de McDonald’s afin d’y promouvoir une cryptomonnaie alternative baptisée « Grimace », du nom d’une des mascottes de la marque outre-Atlantique. Le but : enrober l’arnaque dans une fausse opération marketing. En quelques heures, les aficionados et les plus réactifs des chercheurs d’or financiers ont sorti les billets pour investir dans ce qui semblait être un bon coup. Le hacker a annoncé avoir subtilisé 700 000 dollars, et s’attaquer prochainement à KFC. Après le détournement du compte X du rappeur 50 Cent en juin, les arnaques sur les réseaux sociaux de marques commencent à se multiplier : comment bien protéger ses comptes ?
1. Se former à la cybersécurité
« La cybersécurité n’est pas qu’une affaire de technique. Le facteur humain est toujours prépondérant », rappelle Pascal Vella, responsable communication numérique de l’Afnic. L’association, garante du «.fr», a aussi développé un programme pour promouvoir le numérique auprès des TPE-PME, et leur apprendre à se protéger. « Tout le monde peut être une porte d’entrée dans vos systèmes, même ceux qui n’ont a priori pas d’accès direct, et même les plus aguerris », ajoute-t-il. La formation et la pédagogie auprès de tous sont donc indispensables.
2. Attention aux smartphones
Les réseaux sociaux sont en outre souvent contrôlés via des smartphones. « Si les menaces sur ordinateur sont entrées dans les mœurs, il y a avec les smartphones des enjeux de sécurité auxquels on ne pense pas toujours », avise le spécialiste. Au point de négliger des pratiques sécuritaires pour un outil qui, dans son usage, peut vite dériver vers le personnel. Des piqûres de rappel régulières sont donc nécessaires. Attention aux e-mails frauduleux, aux messages inconnus, ou aux pratiques en dehors des clous.
3. Limiter et sécuriser les connexions
Il faut veiller à avoir des mots de passe robustes, changés régulièrement, ou passer via un gestionnaire de mot de passe. Au cœur des stratégies marketing, les réseaux sociaux sont souvent partagés par des équipes entières. « Pour chaque opération, on peut aussi donner les accès à des agences, à des tiers… Cela multiplie les risques », insiste-t-il. Si les entreprises utilisent de plus en plus d’interfaces de gestion, qui combinent plusieurs plateformes, « pour des raisons de réactivité, d’urgence, ou de modération, des personnes peuvent avoir des accès sur leur téléphone », détaille Pascal Vella. Il faut donc limiter les connexions et mettre en place une pratique générale de gestion des accès. Savoir qui se connecte, pour quoi, en fonction de pratiques de l’entreprise. Dans le cas McDonalds, le compte du directeur marketing a lui aussi été piraté. Si on ne connaît pas les détails du piratage, on peut se douter que cet accès a été une porte d’entrée, notamment avec l’authentification à deux facteurs (avoir besoin de deux devices différents pour sécuriser l’accès).
4. Bien gérer l'après-piratage
Ne pas négliger la communication après un piratage. « Les équipes peuvent, par crainte, mettre le problème sous le tapis. Alors les conséquences s’enveniment. McDonald’s, bien formée, a communiqué tout de suite, auprès du public, mais aussi en interne », prévient-il. Éviter également de sanctionner les responsables. Cela tendrait à inciter les prochains à ne rien dire en cas d’erreur. Or l’information et la réactivité, en cybersécurité, sont la clef de la réponse appropriée.