Cela fait une quinzaine d'années qu'on met en garde les employés contre les pourriels et l'hameçonnage, en les exhortant de ne jamais ouvrir un fichier annexé dont l'expéditeur est inconnu. Mais aujourd'hui, la menace de fraude informatique vient d'ailleurs : des médias sociaux.

" Souvent, au milieu des contenus mis en ligne sur ces plateformes, se glissent des applications ou des logiciels malveillants que les utilisateurs n'hésiteraient pas un instant à supprimer s'ils se présentaient sous forme de courriels ", explique Benoît Dupont, directeur du Centre international de criminologie comparée de l'Université de Montréal.

Des applications non fournies par Facebook, LinkedIn ou Twitter se greffent à ces plateformes. Ainsi, les logiciels de jeu incitant à envoyer un cadeau à un ami, à énumérer ses loisirs ou ses mets préférés fournissent beaucoup d'information sur les utilisateurs. Les publicitaires s'en servent pour cibler des clients potentiels. Les pirates informatiques, eux, récoltent ces renseignements pour se forger une identité " amie " et enjoindre l'utilisateur de cliquer sur des liens qui sont en fait des logiciels malveillants, très difficiles à détecter par les logiciels antivirus.

C'est en tout cas l'hypothèse qui a été soulevée pour expliquer l'attaque d'une trentaine d'entreprises de la Silicon Valley, dont Google, en janvier 2010. " On soupçonne que les attaquants se sont introduits dans les ordinateurs de ces entreprises en accumulant de l'information et en infiltrant les dossiers des employés ", indique M. Dupont.

Comme les utilisateurs des médias sociaux passent plusieurs heures par semaine sur ces sites, il y a de fortes chances que certaines de leurs visites se produisent sur leur lieu de travail, à partir d'un ordinateur de l'entreprise. Attention, danger !

La discrétion est de mise

Benoît Dupont cite le cas d'un membre de LinkedIn qui donnait moult détails sur son parcours professionnel, y compris les coordonnées des entreprises où il avait travaillé, le nom de ses supérieurs immédiats et de ses clients actuels. Or, parmi ces derniers, quelques-uns le recommandaient et indiquaient qu'il s'était occupé des comptes de sécurité informatique de grandes banques canadiennes. On y trouvait également le nom de gestionnaires haut placés de ces banques.

" Grâce à ces informations, il devient possible de recommuniquer avec ces personnes en usurpant la personnalité de l'individu au sujet duquel on possède beaucoup de renseignements crédibles, explique Benoît Dupont. On peut concevoir un message contenant un virus qui sera accepté et téléchargé, sans qu'on y réfléchisse trop. "