BLOG

Le coût de la cybercriminalité sur notre bien-être émotionnel

Miniature de Ian Lauth
Ian Lauth
Publié le 10 octobre 2022

Je m'en fiche de ma réputation.

Joan Jett & the Blackhearts ont eu le luxe de chanter ces paroles avant l'ère moderne d'Internet, à une époque où la contre-culture était subversive, cool et avant-gardiste.

Aujourd’hui, la contre-culture est devenue dominante. Et notre réputation en ligne est primordiale. Nos personnalités numériques sont délibérément organisées, très visibles et gérées de près à mesure que nous nous rapprochons de plus en plus des appareils que nous avons dans notre poche.

Ainsi, lorsque des comptes sont piratés en raison d’un « credential stuffing » et que des acteurs malveillants en profitent, les conséquences peuvent être dévastatrices à un niveau très personnel.

Panique, embarras et honte.

Ce sont des sentiments réels résultant de choses qui se produisent dans notre monde numérique.

Cela est particulièrement vrai dans le cas de la prise de contrôle de comptes sur les réseaux sociaux, que l’Identity Theft Resource Center (ITRC) a qualifié d’« épidémie de prise de contrôle de comptes ».

Selon l'ITRC , qui en 2021 a été contacté par près de 15 000 victimes de délits d'identité pour obtenir des services d'assistance (un record en soi), il y a eu une augmentation de 1 044 % des prises de contrôle de comptes sur les réseaux sociaux entre 2020 et 2021. Une statistique stupéfiante.

En guise de suivi, l'ITRC a mené une enquête auprès des victimes de piratage de comptes de médias sociaux et a constaté que 66 % d'entre elles ont déclaré avoir éprouvé de fortes réactions émotionnelles à la perte de contrôle de leur compte de médias sociaux : 92 % se sont sentis violés, 83 % inquiets et anxieux, 78 % en colère, 77 % vulnérables et 7 % suicidaires.

Dans l’esprit de la Journée mondiale de la santé mentale , voici des statistiques importantes à prendre en compte dans le domaine de la cybersécurité. Et même s’il peut être facile pour certains de considérer le vol d’identité sur les réseaux sociaux comme un simple inconvénient, ces chiffres démontrent à quel point la réputation en ligne d’une personne est étroitement liée à son bien-être émotionnel.

Prenons l'exemple de deux de mes amis, Trevor et Stacey, dont les comptes de réseaux sociaux ont tous deux été piratés par la même attaque de vol d'identifiants, vraisemblablement en juillet 2022. Aucun des deux n’avait configuré son authentification à deux facteurs.

Les deux amis sont des professionnels à succès qui étaient actifs sur les réseaux sociaux, et l'un d'eux était un passionné modéré de crypto-monnaie.

Les mauvais acteurs ont publié sur leurs stories Instagram un message pas si subtil concernant leur implication dans un système de minage de bitcoins. Il s'agissait d'une capture d'écran d'un écran de verrouillage d'iPhone qui comprenait une photo de leur profil (dans le cas de Trevor, une photo de lui et de sa femme de son profil) et affichait un faux message texte de BofA, suivi d'une capture d'écran de son supposé compte bancaire :

Même s’il n’est pas nécessaire d’être un expert en cybersécurité pour reconnaître qu’il s’agit d’une arnaque, cela pourrait néanmoins s’avérer être une tactique de phishing efficace puisqu’elle provient du compte réel de la source de confiance au sein d’un écosystème social qui n’est pas connu pour ses abus.

Curieux de connaître la sophistication de ces attaquants, et parce que je ne laisserai jamais passer une occasion de parler directement à nos homologues au chapeau noir, j'ai répondu à l'histoire pour voir à quel point leur message était efficace :

Je sais, je sais. Je suis un si bon ami, n'est-ce pas ?

Ce fut une épreuve terrible pour les deux individus. Trevor a pu utiliser le processus de vérification de reconnaissance faciale d'Instagram, qui scanne votre visage et le compare à leur bibliothèque infinie de photos taguées. Il a pu récupérer l'accès dans les 27 heures et configurer son authentification à deux facteurs.

Stacey, quant à elle, a complètement quitté les réseaux sociaux. Cette épreuve était tout simplement trop embarrassante et lui a causé tellement d’anxiété qu’elle a tout simplement décidé de partir. Elle a décidé que le fait d'être une personne dans un monde numérique n'était pas pour elle.

Ce n’est pas inhabituel. Une étude de 2020 suggère que 28 % des consommateurs cesseront d’utiliser un site Web si leur compte a été piraté.

Panique, embarras et honte.

Ce n’est pas le genre de sentiments que nous souhaitons transmettre aux utilisateurs finaux de nos clients lorsqu’ils font confiance à nos produits. Et même si cet exemple peut être spécifique aux médias sociaux, le sentiment est quelque chose que nous pouvons tous partager.

Qu’il s’agisse des médias sociaux, de la fintech, du commerce électronique ou de toute autre organisation disposant d’une base d’utilisateurs exploitable, le bourrage d’identifiants est un jeu du chat et de la souris qui est là pour rester et dont les conséquences sont stupéfiantes.

Selon Javelin Strategy and Research, dans son étude 2021 sur la fraude à l'identité , la fraude par prise de contrôle de compte (ATO) a entraîné plus de 6 milliards de dollars de pertes totales en 2020. Les entreprises créent de nouvelles défenses, les pirates informatiques développent des outils pour contourner ces mesures de protection, et le cycle continue.

Alors comment les entreprises peuvent-elles riposter ?

Dans un récent rapport du groupe Aite , des responsables des risques d'institutions financières, de prêteurs fintech et de sociétés de commerce électronique ont été interrogés pour savoir comment ils se protègent du volume croissant d'attaques ATO.

Parmi les principaux points à retenir :

  • La plupart des consommateurs utilisent les mêmes noms d’utilisateur et mots de passe sur tous les sites Web, créant ainsi une vulnérabilité exploitée par les réseaux du crime organisé.
  • La surface d’attaque disponible continue de s’étendre, rendant la détection et l’atténuation plus complexes.
  • Les organisations ont besoin d’une solution qui exploite l’analyse des données en temps réel pour suivre le rythme des attaques automatisées et bloquer les activités malveillantes avant qu’elles n’affectent l’entreprise.
  • Les entreprises dotées de défenses robustes verront le volume des attaques diminuer à mesure que les criminels concentreront leurs attaques sur des cibles plus faciles.

Au-delà des conséquences évidentes des attaques de l’ATO, il est important de se rappeler que ces crimes ont un réel impact humain.

Mettre fin à la fraude ne consiste pas seulement à économiser de l’argent. Il est tout aussi essentiel de prévenir le type de traumatisme humain qui ronge subrepticement les fibres fondamentales d’un avenir numérique plus idéal. Comme dans le monde physique, ce que nous désirons requiert sécurité, sûreté et confiance.