L’usage des réseaux sociaux s’est beaucoup développé depuis dix ans, et les dernières réticences s’effacent. Mieux : beaucoup de sociétés encouragent désormais leurs commerciaux à la pratique du social selling. Mais les réseaux sociaux comportent une part d’ombre, et ils peuvent s’avérer un lieu d’observation idéal pour les fraudeurs.

Etre absent des réseaux sociaux, surtout lorsqu’on exerce une fonction commerciale, est devenu presque suspect. Quel meilleur endroit pour entretenir une relation à distance, découvrir de nouveaux profils, partager des centres d’intérêt commun, et même entrer en contact avec un prospect jusqu’alors inconnu ? Les chiffres parlent d’eux-mêmes :

  • Facebook annonce 2 milliards d’utilisateurs actifs mensuels dans le monde, dont 33 millions en France.
  • Lancé en 2003, LinkedIn revendique 14 millions de membres dans l’Hexagone. On estime le nombre d’utilisateurs réguliers à 23% de ces personnes inscrites, soit plus de 3 millions de Français (chiffre LinkedIn).
  • Twitter comptabilise en France 21,8 millions d’utilisateurs mensuels et 4,27 millions d’utilisateurs quotidiens. (Chiffres Médiamétrie, juillet 2016) – on estime que 44 % d’entre eux n’ont jamais tweeté.

Un lieu d’observation idéal pour des fraudeurs à l’affût

Pour les fraudeurs, la qualité du renseignement est primordiale. Pour choisir leur cible, dans un souci de rentabilité opérationnelle, d’abord. Pour enrichir leurs connaissances des mécanismes de décision dans l’entreprise visée, et pour connaître si bien l’équipe et ses habitudes qu’ils pourront monter un scénario d’usurpation d’identité parfaitement convaincant, ensuite.

Les réseaux sociaux, en ce qu’ils permettent de suivre facilement les conversations publiques de collaborateurs d’une entreprise ou d’une administration, constituent une fenêtre ouverte aux fraudeurs. Et en attirant leur attention sur un événement interne, sur des changements de postes, une absence, une arrivée, ils risquent d’attiser leurs convoitises.

Les malfaiteurs ont parfaitement compris les principes du réseautage ; ils savent que le fait d’avoir des relations communes constituera un facteur de confiance. Or, si l’on compte 500 relations, il y en a certainement quelques-unes à accepter systématiquement toutes les invitations entrantes, y compris les faux profils… qui apparaîtront ainsi comme des personnes de confiance.

L’ingénierie sociale pour les nuls

Pour bien préparer un scénario d’usurpation d’identité (fraude au président, faux client, faux fournisseur, fausse administration…), les fraudeurs vont chercher à comprendre l’organisation de l’entreprise, tout particulièrement ce qui va concerner les ordres de paiement et l’exécution des virements. Qui parle à qui, et comment ? Quelle est la nature de l’autorité hiérarchique ? Quels sont les facteurs potentiellement déstabilisants, comme une restructuration ou l’arrivée d’un nouveau dirigeant ?

Pas besoin de sortir du KGB ! L’analyse des réseaux professionnels et/ou personnels des uns et des autres peut leur en dire long, et facilement. Il ne reste plus alors aux fraudeurs qu’à exploiter les faiblesses psychologiques, sociales et organisationnelles qui ont été repérées pour tenter par la ruse d’obtenir quelque chose de la personne ciblée (un bien, un service, un accès physique ou informatique, la divulgation d’informations confidentielles, ou le plus souvent : un virement bancaire.

Quand le réseau social est à son tour hacké…

Yahoo, et tout récemment Instagram, ont eux-mêmes été victimes du vol des données personnelles de leurs utilisateurs, ou d’une écoute de leurs messageries. Fin août 2017, l’utilisation d’un bug Instagram a ainsi permis à des groupes de hackers de dérober les images et les informations en provenance des comptes de certaines célébrités. Les informations personnelles volées, revendues sur le darknet, s’intégreront au Big data du crime organisé, et trouveront un jour peut-être leur utilisation…

Comment se protéger

Sensibilisation, processus, contrôle : les grandes lignes de la lutte contre la fraude sont bien connues de DAF. Mais vis-à-vis des réseaux sociaux, des précautions supplémentaires s’imposent :

  • Tenir ses applications à jour : les failles des versions précédentes sont déjà connues des fraudeurs
  • Utiliser des adresses emails différentes pour chacun des réseaux
  • Utiliser des mots de passe différents pour chaque réseau social. Et il y a du chemin à faire : seuls 36 % des professionnels interrogés déclarent utiliser un mot de passe différent pour chaque application de médias sociaux ou de messagerie utilisée.
  • En cas de réception d’emails de réinitialisation d’un mot de passe dont l’utilisateur n’est pas à l’origine, prévenir immédiatement le réseau social.
  • Ne jamais publier d’organigramme, ni de cordonnées à l’aide desquelles pourraient être pris des contacts directs.
  • Réserver à ses contacts directs l’accès aux données de son profil. Seuls 40 % des utilisateurs affirment avoir paramétré leurs comptes en ce sens, d’après une récente étude.
Ces recommandations doivent être suivies par tous les collaborateurs de l’entreprise : salariés, cadres, dirigeants, dans l’usage qu’ils font à titre privé comme professionnel des médias sociaux. Elles pourront être incluses dans le règlement intérieur, pour tout ou partie.