Un conseil : avant de publier une photo sur Instagram, faites attention à ce qui se trouve en arrière-plan.

RÉSEAUX SOCIAUX – Stephanie Carruthers est une hackeuse bien intentionnée, connue sous le nom de Snow, qui travaille aussi bien pour des startups que pour de grandes entreprises. En 2014, elle a remporté le concours d’ingénierie sociale Capture the Flag de la DEF CON, l’une des conférences de piratage informatique les plus anciennes et importantes du monde. Elle est souvent invitée dans les conventions de piratage informatique et partage son expérience avec les entreprises souhaitant améliorer leur sécurité en ligne.

Nous l’avons contactée sur Twitter pour l’interroger sur son travail et lui demander des conseils pour être plus en sécurité en ligne.

Je crois que je ne me sentirai jamais en sécurité en ligne.

Qu’est-ce qu’un hacker bien intentionné (« white hat » en anglais) exactement?

C’est un hacker éthique. Je fais de l’ingénierie sociale, qui vise à pirater les gens. En gros, je mens et j’entre par effraction dans des structures. Je procède à différents types d’évaluations, comme des campagnes de phishing et des évaluations de sécurité physique. Mon travail consiste à montrer les vulnérabilités de mes clients afin qu’ils puissent y remédier avant qu’un véritable hacker ne les trouve.

Comment en êtes-vous arrivée là?

L’ingénierie sociale est devenue une passion quand j’ai participé au concours Capture the Flag de la DEF CON, et j’ai eu assez de chance pour pouvoir faire carrière dans ce milieu.

Personnellement, vous sentez-vous en sécurité en ligne?

Je ne dirais pas que je suis intouchable. Les piratages de données sont si fréquents qu’ils deviennent normaux. C’est pourquoi je crois que je ne me sentirai jamais en sécurité en ligne. Je prends donc des précautions pour me protéger du mieux possible.

Avez-vous des exemples de publications stupides que les gens peuvent mettre en ligne?

Plutôt que d’utiliser le mot stupide, je préfère parler d’un manque d’éducation. J’ose espérer que si la personne avait vraiment conscience des risques encourus, elle réfléchirait à deux fois avant de publier du contenu.

Cela étant dit, voici quelques-unes des choses que j’ai pu voir en ligne sans que les personnes concernées n’aient conscience des risques:

– Les jeunes conducteurs: des adolescents tout excités (voire des parents) qui prennent une photo [de leur nouveau permis] où on distingue clairement toutes leurs informations personnelles, y compris l’adresse.

– Les nouveaux propriétaires qui prennent une photo des clés de leur nouvelle maison en utilisant la géolocalisation, sans savoir qu’il est [facile] de dupliquer une clé physique à partir d’une photo.

– Les employés qui prennent parfois des selfies sans se préoccuper de ce qui se trouve en arrière-plan: mots de passe, informations confidentielles sur des tableaux blancs ou des écrans, mots de passe de leur téléphone, etc. Je ne comprendrai jamais pourquoi, mais il y a aussi des gens qui publient des photos de leurs bulletins de salaire. Ils le font en toute innocence, mais les pirates peuvent utiliser ce genre de photos à leur avantage.

Qu’est-ce que les gens ne devraient jamais faire sur les réseaux sociaux?

Publier sans réfléchir. Point à la ligne. Avant de publier quelque chose, posez-vous ces trois questions: quelles informations suis-je en train de mettre en ligne? Qu’est-ce qu’il y a en arrière-plan de ma photo? Si je voulais me venger de moi-même, comment pourrais-je retourner ces informations contre moi?

Selon vous, sur quel réseau social est-on le plus vulnérable?

Je pense que c’est Facebook qui divulgue le plus d’informations, surtout parce que ce réseau regroupe une énorme quantité de données, sur vos amis, vos collègues, votre famille, votre travail, vos loisirs, vos enfants, etc. De nombreuses réponses à des questions de sécurité [utilisées pour les transactions bancaires et les réinitialisations de mot de passe] peuvent être trouvées rien qu’en regardant le profil Facebook de quelqu’un.

En plus, la conception de Facebook ne nous aide pas à protéger notre vie privée: les réseaux sociaux ne fonctionneraient pas si on en disait le moins possible sur soi. Pour de nombreux utilisateurs, il n’est pas intuitif d’ajouter des paramètres de confidentialité. En supposant qu’ils y pensent…

Mentez quand vous répondez aux questions de sécurité.

La technologie de reconnaissance faciale pourrait-elle empêcher les escrocs de créer des faux profils?

Elle pourrait peut-être permettre de réduire le nombre de faux comptes, mais pas de les supprimer totalement. Les hackers sont des gens très rusés qui adorent chercher des moyens de contourner ce genre d’obstacles. C’est comme jouer au chat et à la souris. D’un autre côté, pour donner plus de poids à Facebook, il faudrait fournir davantage d’informations personnelles. Je connais plein de gens qui attachent tellement d’importance à leur vie privée qu’ils utilisent des faux noms et un avatar non humain sur les réseaux sociaux. Afin d’éviter que leur profil soit considéré comme faux, ils devraient fournir leur nom et une photo de leur visage. Un peu comme quand Facebook vous demande vos photos nues pour empêcher l’utilisation non consentie de contenu pornographique! Dès l’instant où elles sont en leur possession, il leur devient plus facile de retrouver ces photos et de les détruire automatiquement. Tout est une question de confiance et de choix entre la peste ou le choléra.

Mots de passe, questions de sécurité… Pourquoi y a-t-il autant de piratages?

Les piratages de données peuvent avoir plusieurs raisons: attaques d’ingénierie sociale, vulnérabilités des applications, serveurs non protégés, manque de contrôles de sécurité physique, informations de connexion faibles ou volées, etc. Si ces vulnérabilités sont constantes, les piratages se poursuivront.

Tout le monde devrait adopter des bonnes pratiques en matière de choix de mot de passe. Ceux-ci relèvent à la fois de la responsabilité des individus et des entreprises. Voici certaines mesures de protection que vous pouvez adopter:

– Ne réutilisez jamais le même mot de passe, changez-en régulièrement et utilisez un gestionnaire de mot de passe. Chacun de vos mots de passe doit être unique et fort.

– Mentez lorsque vous répondez aux questions de sécurité. Vous n’avez pas à donner le vrai nom de jeune fille de votre mère. Choisissez une réponse qui ne soit pas facile à deviner, comme « Nutella » ou « Disneyland ».

– Utilisez l’authentification à deux facteurs. La plupart des sites proposent une option vous permettant de configurer cette mesure de sécurité supplémentaire.

Qui sont ces escrocs ou pirates qui veulent voler nos informations?

Les escrocs sont des opportunistes. Comme dans toute autre activité illégale, ils cherchent des situations où le bénéfice est supérieur au risque. Dans la plupart des cas, les lois locales ne posent pas de véritable menace contre l’activité en question. Peu importe qui ils sont et où ils sont, les hackers veulent des informations qu’ils ont les moyens et les capacités d’obtenir, pourvu que ça en vaille la peine. Dans bien des cas, ils ont beaucoup de succès car la plupart des réseaux de piratage informatique misent sur la quantité. Tout comme les campagnes de télémarketing, ils disposent d’un centre d’appel plein d’escrocs, utilisent des techniques de génération de pistes, des argumentaires, une hiérarchie interne, des formations et même des quotas.

Quelle est la principale chose à retenir pour les utilisateurs occasionnels d’Internet?

Gardez à l’esprit que ces problèmes de sécurité ne sont pas prêts de disparaître, et que vous ne serez jamais intouchable. En revanche, vous pouvez être plus en sécurité que les autres, en espérant que les hackers abandonnent et s’en prennent à quelqu’un d’autre. Comme on dit: « Pas besoin de courir plus vite que l’ours pour s’échapper. Il faut juste courir plus vite que son voisin. »

Cette interview a été éditée par souci de concision et de clarté.

Cet article, publié à l’origine sur le HuffPost américain, a été traduit par Typhaine Lecoq-Thual pour Fast For Word.