L'application Threads de Meta, qui bat tous les records, est-elle une autre avenue pour les cyberattaques ?

Jean Delaunay

L’application Threads de Meta, qui bat tous les records, est-elle une autre avenue pour les cyberattaques ?

Qu’il s’agisse du lancement de Threads, du passage au travail à distance ou même du début de la guerre en Ukraine, les pirates manipuleront nos émotions contre nous, écrit le Dr Niklas Hellemann.

Threads, la nouvelle plate-forme de médias sociaux de Meta et supposée concurrence sur Twitter, est officiellement la nouvelle application à la croissance la plus rapide de l’histoire.

En seulement cinq jours, le concurrent de Twitter a réussi à gagner plus de 100 millions d’utilisateurs, ce qui est d’autant plus impressionnant que l’application n’est pas encore disponible en Europe.

Cependant, dans une économie sombre déjà perfide, où divers canaux sont exploités pour la cybercriminalité, la nouvelle superstar des médias sociaux de Meta est encore une autre voie d’attaque pratique pour les cybercriminels de carrière et leur boîte à outils d’ingénierie sociale.

Les civils et les employés, en particulier ceux qui travaillent avec des données sensibles, doivent être vigilants, car le paysage des médias sociaux en pleine expansion représente un risque sérieux pour la sécurité.

Une multitude d’arnaques

Dans le court laps de temps qui s’est écoulé depuis sa sortie, les cybercriminels ont déjà utilisé le lancement très médiatisé de Threads pour tenter d’arnaquer et d’attaquer des utilisateurs sans méfiance.

Par exemple, les criminels ont développé des sites de phishing qui imitent des versions Web inexistantes de Threads, conçues pour inciter les utilisateurs à entrer leurs informations de connexion.

Étant donné que Threads est connecté à d’autres services Meta, les cybercriminels pourraient utiliser ces sites de phishing pour voler l’accès aux autres comptes de médias sociaux des utilisateurs, tels qu’Instagram ou Facebook.

De fausses versions de l’application sont apparues dans les magasins de smartphones, soit pour tromper les utilisateurs en exigeant un paiement, soit pour servir de canal aux attaques de logiciels malveillants et de phishing.

OLI SCARFF/AFP
Un cosplayeur déguisé en Dark Vador tient un téléphone portable affichant l’alerte gouvernementale pour tester un système utilisé pour avertir des urgences, Scarborough, avril 2023

Il s’agit non seulement d’un risque pour la vie privée, ouvrant la porte au vol d’identité et au doxing, mais également d’un risque financier, car les criminels peuvent être en mesure de voler des informations bancaires personnelles.

De même, de fausses versions de l’application sont apparues dans les magasins de smartphones, soit pour tromper les utilisateurs en exigeant un paiement, soit pour servir de canal aux attaques de logiciels malveillants et de phishing.

Plus tôt ce mois-ci, Apple a dû retirer une application Threads contrefaite de son app store européen après avoir atteint la première place de son magasin.

Les réseaux sociaux, le terrain de chasse idéal

L’une des raisons pour lesquelles ces sites et applications frauduleux ont connu un tel succès est que Threads n’est pas encore disponible pour les consommateurs européens.

Son lancement dans l’UE a été retardé en raison de problèmes réglementaires liés à la grande quantité de données que Threads collecte sur ses utilisateurs, ce qui devrait concerner les utilisateurs potentiels.

Les fils de discussion peuvent collecter des informations personnelles, notamment des données de localisation, de finances et même de santé et de forme physique.

Ce trésor de données en fait une cible attrayante pour les pirates, représentant une grave vulnérabilité en cas de violation.

Sans vérification, il existe un risque que des imitateurs prétendent être des célébrités ou des organisations bien connues, arnaquant éventuellement les utilisateurs avec leur argent ou dans le cadre d’une attaque de phishing multicanal.

ALAIN JOCARD/AFP
Un visiteur regarde un discours du PDG de Meta Platforms, Mark Zuckerberg, sur un écran du stand Meta à Paris, juin 2023

Ceux qui peuvent utiliser Threads doivent également faire attention à qui ils suivent. Le système de vérification actuel de Threads permet à n’importe qui d’acheter un « tick ».

Sans vérification, il existe un risque que des imitateurs prétendent être des célébrités ou des organisations bien connues, arnaquant éventuellement les utilisateurs avec leur argent ou dans le cadre d’une attaque de phishing multicanal.

Les médias sociaux sont le terrain de chasse idéal pour les attaques de harponnage : en récoltant des informations personnelles, les cybercriminels peuvent concevoir leurs attaques pour cibler des personnes avec une précision chirurgicale, notamment en se faisant passer pour une figure d’autorité, comme le PDG d’une entreprise.

Cela est d’autant plus facile que les utilisateurs peuvent croire à tort qu’ils se trouvent dans un environnement sûr et privé et se sentent encouragés à diffuser leurs informations personnelles.

FOMO, une partie de la nature humaine

Les problèmes de sécurité autour de Threads sont liés à un phénomène psychologique de base qui entraîne des risques potentiels.

À savoir, les humains sont faillibles dans le sens où ils réagissent avec un certain comportement à certaines émotions, et face à la nouveauté et à l’excitation de se familiariser avec les nouvelles technologies, ils baissent souvent leur garde.

Dans leur hâte d’essayer Threads, de nombreux utilisateurs s’exposent à ces escroqueries.

« FOMO » – la peur de passer à côté – est bien réelle lorsqu’il s’agit de se lancer tête première dans de nouvelles plateformes passionnantes, mais malheureusement, les risques potentiels le sont aussi.

Notre dépendance accrue à cette gamme plus large d’outils et de plates-formes offre un avantage aux cybercriminels, en leur donnant plus de canaux et de vulnérabilités pour attaquer et plus de moyens de collecter des données précieuses.

FABRICE COFFRINI/AFP ou concédants
Une personne filme des montres avec son téléphone portable sur le stand Rolex lors du salon de l’horlogerie de luxe ‘Watches and Wonders Geneva’, à Genève, mars 2023

Cependant, il y a un problème plus important en jeu. La diversification rapide non seulement des canaux de médias sociaux, mais aussi des outils de communication et des plates-formes de collaboration que nous utilisons au quotidien dans notre vie professionnelle et personnelle signifie que nous sommes souvent confrontés à des technologies et des environnements inconnus.

Notre dépendance accrue à cette gamme plus large d’outils et de plates-formes offre un avantage aux cybercriminels, en leur donnant plus de canaux et de vulnérabilités pour attaquer et plus de moyens de collecter des données précieuses.

Les problèmes de sécurité autour de Threads indiquent également le simple fait que la plupart des gens ne sont pas conscients de l’énorme menu de tactiques et de méthodes utilisées par les pirates hautement professionnels d’aujourd’hui.

L’industrie de la cybercriminalité n’a jamais été aussi sophistiquée ni n’a eu autant de ressources et d’opportunités, la professionnalisation de la cybercriminalité conduisant à la création de réseaux organisés fonctionnant comme des entreprises criminelles astucieuses.

Leur principale chance de succès ? Jouer avec notre psyché humaine et nos émotions.

Voici ce que vous pouvez faire pour vous protéger

Alors, comment les gens ordinaires peuvent-ils rester en sécurité dans cette jungle de cybermenaces en constante évolution ?

Tout d’abord, nous devons sensibiliser aux menaces qui existent afin que les gens n’oublient pas de se protéger en ligne.

En apprenant à repérer les menaces ou les messages malveillants, les gens sont bien mieux équipés pour y faire face plutôt que d’apprendre à la dure.

Deuxièmement, nous devons renforcer les comportements sécuritaires en ligne. Cela signifie définir des mots de passe forts et utiliser une authentification multifacteur pour sécuriser les informations de connexion, mais aussi être conscient des informations que nous partageons en ligne – les médias sociaux sont des plateformes publiques sur lesquelles vous ne pouvez pas contrôler la diffusion des informations.

Dans la mesure du possible, définissez votre compte sur privé.

Sachez que les cybercriminels trouveront des moyens d’exploiter l’actualité car ils sont passés maîtres dans l’ingénierie sociale.

AP Photo/Petros Karadjias
Les spectateurs utilisent leur téléphone portable pour enregistrer le groupe de rock allemand Scorpions lors d’un concert à Limassol, juillet 2022

Enfin, sachez que les cybercriminels trouveront des moyens d’exploiter l’actualité car ils sont passés maîtres dans l’ingénierie sociale.

Qu’il s’agisse du lancement de Threads, du passage au travail à distance ou même du début de la guerre en Ukraine, les pirates manipuleront nos émotions contre nous.

Les cybercriminels d’aujourd’hui sont des experts dans l’exploitation de la psyché humaine.

Ce n’est que si nous sommes conscients de la force d’innovation et de la créativité des cybercriminels et adoptons un comportement sécurisé en ligne que nous pourrons remarquer ces risques en permanence et rester en sécurité.

Laisser un commentaire

11 − 2 =