L'influence mondiale massive des plateformes de médias sociaux tels que Twitter et Facebook, continue de tester les limites à notre vie privée. Il ne faut pas être surpris. Ces plateformes attirent tout le monde, du citoyen ordinaire au président des États-Unis d'Amérique.
Cette adoption à grande échelle entraîne des problèmes de protection des renseignements personnels et de cybersécurité. Alors que les utilisateurs affluent vers une plateforme ou une autre, les cybercriminels suivent.
Les violations de la vie privée la plus infâme sur une plateforme de médias sociaux au cours des dernières années demeure le scandale Facebook / Cambridge Analytica. Les violations de données peuvent cependant prendre plusieurs formes et, plus récemment, les cybercriminels ont atteint de nouveaux sommets en matière d'innovation en utilisant à mauvais escient les plateformes sociales à des fins frauduleuses.
En juillet 2020, des pirates ont procédé à une série de prises de contrôle de comptes impliquant plusieurs utilisateurs célèbres de Twitter, dont Barack Obama. Une fois que les fraudeurs ont eu le contrôle des comptes, ils les ont utilisés pour promouvoir une escroquerie Bitcoin. Parce que les comptes étaient des célébrités bien connues, auxquelles le grand public faisait confiance, de nombreux utilisateurs de Twitter ont été victimes de l'arnaque. Les pertes accumulées sont estimées à environ 250 millions de dollars.
L'enquête sur l'attaque se poursuit, mais Twitter annoncé fin juillet que l'ingénierie sociale et le hameçonnage par téléphone étaient les techniques utilisées pour prendre le contrôle des comptes. Les fraudeurs ont ciblé des personnes au sein de l'équipe administrative de Twitter qui avaient un accès privilégié aux outils d'administration. Une fois que les cybercriminels ont eu accès à des informations d'identification privilégiées, ils ont pu accéder aux systèmes et processus internes.
Les applications socialisées sont sous les projecteurs des médias aujourd’hui en raison de divers problèmes de protection des données de la vie privée. Les applications de suivi et de traçabilité Covid-19 en sont un bon exemple. Au Royaume-Uni, une tentative de création d'une application pour effectuer des suivis Covid-19 a généré de nombreux problèmes. En effet, l’une des préoccupations majeures étant le fait que l'application allait stocker les données personnelles pendant 20 ans et, celles-ci ne seraient pas soumises à l'exigence du RGPD du droit de suppression.
TikTok, l'application vidéo de réseautage social destinée aux jeunes, a été accusée de violation de la vie privée par le gouvernement américain. Celui-ci menace d'interdire TikTok en Amérique du Nord. Les types de données collectées par l'application incluent les données personnelles collectées lors de l'inscription et potentiellement des données comportementales et profondément identifiables. La politique de confidentialité de TikTok stipule:
« Nous recueillons également des informations que vous partagez avec nous auprès de fournisseurs de réseaux sociaux tiers, ainsi que des informations techniques et comportementales sur votre utilisation de la plateforme. Nous recueillons également des informations contenues dans les messages que vous envoyez via notre plate-forme et des informations de votre annuaire téléphonique, si vous nous autorisez l'accès à votre annuaire téléphonique sur votre appareil mobile. »
TikTok n'est pas étranger aux problèmes de protection des données sur la vie privée. En 2019, la FTC a infligé une amende de 5,7 millions de dollars à TikTok pour avoir enfreint les exigences de la loi COPPA (Children's Online Privacy Protection Act), pour avoir collecté illégalement des informations personnelles d'enfants.
Parce que les médias sociaux sont largement utilisés, cela génère de nombreuses occasions de commettre des actes frauduleux. En outre, les plateformes de médias sociaux adhèrent au principe de la confiance. L'une des raisons pour lesquelles le piratage de Twitter a connu un tel succès était que les comptes utilisés pour perpétrer la cybercriminalité étaient des comptes qualifiés ‘’ de confiance ‘’ ou vérifiés. Sur Twitter, les comptes avec une « coche bleue » sont une preuve d'identité. C'est-à-dire que la personne derrière le compte a été vérifiée comme étant celle qu'elle prétend être. Cela contribue à renforcer la confiance entre le compte Twitter et les abonnés du compte. Les cybercriminels derrière le piratage de Twitter ont pleinement profité de la légitimité des comptes vérifiés pour que l'arnaque se propage.
De nombreux autres types d'escroquerie utilisent le réseau social comme terrain de jeu idéal pour la fraude. Ci-dessous trois exemples des type de fraudes les plus répandues:
Selon Javelin Strategy, les utilisateurs de plateformes de médias sociaux ont un risque accru de prise de contrôle et de fraude de 46%. Les comptes de médias sociaux nécessitent une inscription. Lors de l'enregistrement, des données personnelles qui font partie de la constitution de votre identité numérique sont collectées. Mais de nombreuses plateformes de médias sociaux collectent également d'autres données, y compris des autoportraits, des données d'amis et de famille, et des détails très personnels tels que les dates de vacances, les informations sur le lieu de travail, etc. Ces données sont très attrayantes pour les cybercriminels qui peuvent les utiliser pour créer des fausses identités ou se faire passer pour une personne directement. Les informations de connexion volées ou les ‘’hacks’’ de base de données peuvent fournir la méthode d'entrée au compte.
Les plateformes de médias sociaux peuvent involontairement devenir des hôtes à des usurpateurs d'identité - des fraudeurs qui créent un compte répliquant la page personnelle d'un utilisateur. Les cybercriminels utilisent ensuite l'ingénierie sociale et les menaces pour extorquer de l'argent aux victimes.
Ce ne sont pas seulement les individus qui sont exposés au piratage des réseaux sociaux. Bromium, dans leur rapport “Social Media Platforms and the Cybercrime Economy” décrit les médias sociaux comme "un centre de distribution mondial pour les logiciels malveillants."
Le rapport décrit comment les employés cliquent par inadvertance sur du contenu malveillant via des publications sur les réseaux sociaux et autres. C’est un mécanisme pour l'installation de logiciels malveillants activée par des vulnérabilités dans des logiciels non corrigés; les pirates ont alors accès par porte dérobée aux actifs de l'entreprise.
Le rapport de Bromium souligne également que « 70% des attaques de rançongiciel qui ont réussi en 2017 provenaient d'attaques de hameçonnage via des courriels ou des plateformes de réseaux sociaux ». Les médias sociaux constituent un canal idéal pour les campagnes de phishing. Le Hameçonnage dépend des astuces d'ingénierie sociale qui encouragent les utilisateurs à cliquer sur des liens malveillants ou à télécharger des pièces jointes infectées. Les médias sociaux reposent sur la confiance entre les utilisateurs. Si une personne fait confiance à un lien, elle est plus susceptible de cliquer dessus.
Les lois sur la protections des renseignements personnelles, telles que le RGPD (Règlement général sur la protection des données), la CCPA (California Consumer Privacy Act), la loi 64 (Québec) peuvent contribuer à atténuer les problèmes liés aux violations de données et aux violations de la vie privée sur les réseaux sociaux. Disposer d'un cadre qui reconnaît les droits des consommateurs en termes de protection des données et de la vie privée fournit un mécanisme pour mettre en place des mesures d’atténuation des risques. Cependant, ces mesures de protection doivent être renforcées. La réglementation seule ne suffit pas. Les entreprises et les particuliers doivent se familiariser avec les menaces que représentent les médias sociaux. Les politiques de cybersécurité devraient intégrer des mesures de protection qui prennent en compte les plateformes sociales. Une approche holistique qui minimise les risques des menaces des plateformes de médias sociaux peut aider à garantir que ce média prolifique et souvent agréable peut être sécuritaire.
