Il y a plusieurs conseils accessibles qu’il est possible d’appliquer pour sécuriser rapidement et fortement ses comptes en ligne, comme Twitter.

Week-end désagréable pour l’armée britannique sur le web. Deux comptes gérés pour le compte des militaires anglais ont été momentanément détournés pour faire la promotion de contenus liés aux cryptomonnaies et au business des jetons non fongibles (NFT). Mais les services mis en avant s’apparentent à des tentatives d’escroquerie, signale Engadget le 3 juillet.

Les circonstances dans lesquelles les profils Twitter et YouTube ont été pollués — tous les contenus litigieux ont été retirés depuis — ne sont pas élucidées. Ce n’est pas la première fois que des comptes ayant une large audience, et qui sont par ailleurs « vérifiés » auprès des plateformes concernées, subissent de genre d’attaque.

Twitter compte
L’armée britannique, elle a changé. // Source : Capture d’écran

L’une des pistes les plus vraisemblables est l’exploitation d’une faiblesse dans un service tiers qui a reçu les droits de publier sur le compte YouTube ou le profil Twitter de l’armée britannique. C’est par ce genre d’approche que l’ex-patron de Twitter, Dick Costolo, s’est fait pirater sur Twitter. Et c’est aussi par ce biais-là que le clip de Despacito a vraisemblablement eu quelques ennuis.

De fait, les règles appliquées par l’armée britannique pour assurer la maîtrise de l’accès à ses comptes sur les réseaux sociaux vont inévitablement être scrutées à l’aune de l’incident qui s’est déroulé le 3 juillet — et des enseignements seront sans doute tirés. L’incident constitue toutefois un évènement dont lequel le public aussi peut profiter pour se protéger.

Mieux sécuriser son compte Twitter avec ces 9 gestes

Ces conseils sont déjà largement connus, ne serait-ce que dans le secteur de l’IT et de la sécurité informatique. Et il ne s’agit pas de dire que leur seule application suffit à écarter toutes les menaces et pour toujours. Mais plus les internautes appliquent ces consignes convenablement, plus la surface du risque est réduite. Et complique de fait la vie des pirates informatiques.

1. Activez la double authentification sur Twitter. C’est la méthode qui apporte le plus gros gain en matière de sécurité informatique. Cela consiste à inscrire un code, en plus du mot de passe, qui est reçu soit par SMS, soit généré avec une application mobile préalablement synchronisée avec le compte Twitter. La méthode avec une appli mobile est jugée plus sûre que celle par SMS.

2. Utilisez un mot de passe unique pour Twitter. Vous ne vous aidez pas en utilisant un même mot de passe-partout. Si celui-ci est trouvé d’une façon ou d’une autre, il déverrouille tout. Utilisez un mot de passe solide. Et vous avez du mal à tous les retenir ? Alors, passez à un gestionnaire de mots de passe : il est toujours plus fiable que des post-its ou que votre mémoire.

mot de passe password
Un mot de passe par service et vous vous épargnerez bien des tracas. // Source : Claire Braikeh pour Numerama

3. Ne partagez pas votre mot de passe Twitter. Il faut vérifier qui a accès au mot de passe et en limiter drastiquement le nombre. En fait, celui-ci ne devrait même pas être partagé. En fait, il existe des mécanismes qui servent à partager l’accès à un compte Twitter sans donner le mot de passe. C’est le cas de Tweetdeck, avec des droits plus ou moins larges selon les personnes.

4. Évacuez les applications tierces. Un pirate, s’il ne peut pas passer par la porte, va passer par la fenêtre. Même avec un mot de passe respectant les règles et la double authentification, votre compte peut être vulnérable parce que vous avez donné des droits d’accès (écriture, lecture, suppression, etc.) à une application tierce. Passez-les en revue et supprimez-les quand elles ne servent plus.

5. Sécurisez bien ces applications tierces. Si vous devez quand même en utiliser, il faut s’assurer qu’elles poseront le moins de problèmes : utilisent-elles un bon mot de passe, s’il y en a un ? Qui y a accès ? Sont-elles bien à jour ? Les droits octroyés sont-ils suffisamment calibrés ? Avez-vous activé toutes les options de sécurité, si elles sont proposées ?

6. Déconnectez-vous des sessions anciennes. Plusieurs terminaux peuvent garder un accès actif à votre session Twitter, parce que vous vous êtes connecté dessus en passant par eux. C’est le moment de passer en revue les accès encore actifs et de les couper — par exemple, si un ancien smartphone qui avait accès au compte, mais que vous avez cédé ou revendu.

Enlevez les applications tierces, coupez les sessions anciennes.

7. Verrouillez votre PC ou votre smartphone. Le terminal qui sert à accéder à Twitter est-il protégé, avec un mot de passe ou un dispositif biométrique (empreinte digitale, reconnaissance faciale, etc.). ? Les attaques contre votre compte peuvent aussi se faire en ayant un accès physique à votre ordinateur — c’est plus rare, mais ce n’est pas impossible.

8. Ne cliquez sur rien dans les mails. Les tentatives d’hameçonnage (phishing) passent par des mails pour dérober votre identifiant et votre mot de passe. Bien sûr, avec la double authentification, vous avez une protection en plus, mais autant avoir les bonnes pratiques : ne confiez aucune de ces données sur un site auquel vous avez eu accès via un lien envoyé par mail.

9. Empêchez la réinitialisation trop simple du mot de passe. Twitter propose un outil qui sert à ajouter une protection en plus, en bloquant la réinitialisation du mot de passe. Plus exactement, celle-ci est conditionnée à la fourniture d’informations en plus pour éviter les comptes dérobés en changeant leur mot de passe.

Cette liste, qui comporte déjà neuf actions à exécuter, pourrait sans doute encore être allongée. En les appliquant scrupuleusement toutefois, l’exposition aux menaces courantes contre votre compte Twitter sera largement diminuée. Notez que ces conseils peuvent se retrouver plus ou moins dans d’autres services en ligne. Il ne faut pas hésiter à les utiliser ailleurs.