Étiquette : Cybercriminalité

Publié le

Sécurité des réseaux sociaux : la faille c’est nous ?

Dans l’imaginaire collectif, un hacker est un génie solitaire, tapant frénétiquement du code pour forcer des systèmes impénétrables. Mais cette perception nourris par les films Hollywoodien reflète-t-elle vraiment la réalité des cyberattaques aujourd’hui ? 


Le facteur humain au cœur des cyber-menaces 
En observant les statistiques des cyber-menaces ciblant les utilisateurs, on est bien loin du hacker hollywoodien : pas de code tapé à vitesse éclair, de malware inconnu, ni de failles ultra sophistiquées. Pour utiliser une analogie, la menace vient rarement d’un intrus qui force l’entrée, mais souvent de l’utilisateur qui lui ouvre sa porte. Cela se vérifie empiriquement. Selon un rapport de Gen Digital1, la première menace sur les réseaux sociaux est constituée par les publicités malveillantes, ou « malvertising »

Le Malvertising

 La société Avira résume2 : « Prenez un cybercriminel, une publicité en ligne et une pincée de malware. Mélangez. » le code malveillant, contient souvent un keylogger qui enregistre les frappes pour voler vos données. Ces campagnes représentent 27 % des attaques détectées fin 2024. Le malware est souvent basique et disponible librement en ligne, par exemple sur GitHub pour le keylogger. Pas besoin de piratage, un simple clic en trop et vos données sont en danger. 

Les fausses marketplaces 

La deuxième menace (23 %) concerne les fausses boutiques en ligne. Promues via des bots, comptes piratés ou publicités, elles proposent des produits à prix cassés, sur des sites imitant parfaitement des enseignes réelles. L’utilisateur clique entre ses identifiants ou coordonnées bancaires et… ne reçoit jamais rien. Ses données sont revendues ou réutilisées. Selon Nord Security, les informations de carte bancaire se monnayent en moyenne à 7 $ l’unité3. Nul besoin de piratage, il suffit de convaincre.

Le phishing 

Représentant 18 % des attaques, le phishing est la 3ème attaque la plus populaire sur les réseaux sociaux. Cybermalveillance.gouv. le définit comme un « mode opératoire consistant à dérober des informations personnelles […] en usurpant l’identité d’un tiers de confiance ». Sur les réseaux, cela prend la forme de messages privés envoyés depuis des comptes volés (parfois ceux d’un ami), de faux supports, ou de liens « urgents » incitant à vérifier son compte. Il ne s’agit pas d’un exploit informatique, mais d’une attaque sociale.

Souvent un même objectif : le credential harvesting

Qu’il s’agisse d’une publicité piégée, d’une fausse boutique ou d’un message de phishing, le schéma est souvent le même : pousser l’utilisateur à entrer ses identifiants sur une page frauduleuse. Ce procédé, appelé credential harvesting, vise à collecter des accès légitimes pour les réutiliser ou les vendre 5. Ces attaques sont encore plus dangereuses, si combinées entre elles. Par exemple, un compte volé via phishing peut ensuite servir à diffuser du malvertising ou promouvoir une fausse boutique de manière crédible.

Toutes ces techniques visent en priorité Facebook, qui concentre à lui seul 56 % des cybermenaces sociales, loin devant YouTube, 26 %  et X 7 % 1

Pourquoi l’utilisateur comme cible et pas la machine ?

Si sur les réseaux sociaux, ce sont souvent les utilisateurs eux-mêmes qui sont attaqués, cela s’explique par une double dynamique. D’abord, les attaques techniques deviennent plus difficiles grâce au progrès des outils de sécurité,  de l’autre, ces plateformes facilitent naturellement l’ingénierie sociale.

 L’ingénierie sociale ou social engineering , soit  les  techniques visant à manipuler des individus pour les pousser à divulguer des informations confidentielles ou à adopter un comportement compromettant leur sécurité  6, ne cherche pas à casser un système, mais à contourner ses protections en s’appuyant sur le facteur humain.

Et c’est précisément ce que favorisent les réseaux sociaux. Il est logique de voir Facebook concentré 56 % des cybermenaces. Sa structure entre espace privé et espace public, ses groupes ouverts, son moteur de recherche interne et ses profils partiellement accessibles facilitent et multiplient les interactions, y compris avec des inconnus. Plus l’utilisateur est connecté, plus il est vulnérable. Chaque publication, commentaire ou ajout de contact augmente la surface exploitable par les attaquants, comme le rappelle Cybermalveillance.gouv 7

 L’erreur humaine au sein même des médias sociaux

Ce ne sont pas seulement les utilisateurs qui ouvrent la porte aux cybercriminels. Les plateformes sociales elles-mêmes restent vulnérables aux failles humaines.

Le cas Twitter : Prendre le contrôle sans une ligne de code

Graham Ivan Clark, alias “Open”, n’est pas un spécialiste en cybersécurité. Pourtant à 15 ans, il s’intéresse au sim swapping et au social engineering, lui permettant sur Twitter de voler et revendre des pseudos rares. En bref, un cyber-délinquant opportuniste, mais sans expertise en code, en malware ou en réseau.

 Il est dit que c’est dans le jeu Minecraft qu’il aurait fait ses armes, où il filmait ses exploits de scammer, et ses stratagèmes de manipulation pour piéger, voler,  et abuser de la confiance des joueurs.  C’est sur le jeu qu’il développe ses premiers réflexes d’usurpation, et de persuasion.

En juillet 2020,  il apprend que 1 500 employés de Twitter disposent d’habilitations administrateur. Open y voit 1 500 potentiels occasions de devenir riche, sans pare-feu à franchir, ou de mot de passe à forcer. 

Le 15 juillet 2020, il passe à l’action. Il identifie ses cibles sur LinkedIn, souscrit à un abonnement premium pour récupérer leurs coordonnées, puis les appelle un par un. À chaque fois, même scénario : se faire passer pour le support technique, invoquer une urgence, et rediriger l’employé vers une page d’authentification clonée. Le site, copie conforme du portail VPN de Twitter, est équipé d’un keylogger qui enregistre les identifiants en temps réel 8 

L’opération reprend exactement les logiques décrites en première partie : une fausse interface, une usurpation d’identité, un discours crédible, et une victime mise sous pression, qui finit rapidement par céder au credential harvesting.

En moins de 48 heures, Open obtient ces accès, il prend le contrôle de 130 comptes certifiés de célébrité, publie une arnaque au Bitcoin, désactive la double authentification, et détourne plus de 120 000 dollars. En bref, comment pirater Twitter, sans coder une ligne. 9 

Un cas isolé ? 

Par ailleurs, le cas de Twitter n’est pas isolé. En 2019, Facebook a vu les données de plus de 267 millions de comptes exposées publiquement en ligne. Aucune intrusion, aucun piratage sophistiqué, l’origine de la fuite tient à une simple erreur d’accès, sur un serveur tiers, laissant les données accessibles sans aucune authentification particulière. Par un simple outil de scraping, des millions de noms, identifiants et numéros de téléphone ont ainsi été collecté,  preuve qu’un manque de rigueur peut suffire à provoquer une fuite massive d’informations.

Mais alors, le hacker hollywoodien, ça n’existe pas ?

Ce type de piratage existe, mais il ne concerne ni Instagram, ni vos messages privés sur X. Ces attaques très techniques visent des cibles stratégiques : installations nucléaires,, infrastructures critiques ou militaire, et sont menées par des groupes spécialisés, souvent liés à des États.

L’exemple le plus célèbre est Stuxnet, un malware d’une complexité inédite, conçu pour saboter les centrifugeuses nucléaires iraniennes. Découvert en 2010, il aurait été développé par les États-Unis et Israël. Il exploitait plusieurs failles zero day pour infiltrer et saboter des systèmes, notamment en faisant surchauffer les infrastructures nucléaires.

Ces failles zero day, soit des vulnérabilités encore inconnues des éditeurs sont au cœur du piratage ultra-technique. Elles permettent des intrusions sans erreur humaine, simplement parce que le logiciel contient une faiblesse inconnues de (presque) tous. Elles sont rares, précieuses, et revendues à prix d’or. Selon le CSIS, elles ne représentent qu’environ 3 % des vecteurs d’intrusion 10

Comment ne pas être le maillon faible?

Pour conclure notre article, on voit que les représentations médiatiques nous ont laissé penser que la cybersécurité ne nous concerne pas. Si l’on se fait pirater, c’est qu’un génie de l’ombre a frappé, et on n’y peut rien… Pourtant, comme nous l’avons vu, presque systématiquement, les attaques commencent par une erreur humaine, utilisateur ou employé.
C’est pourquoi nous tenions à vous rappeler quelques pratiques simples, mais essentielles afin d’assurer votre sécurité.

1. Utilisez votre sens critique
Vous attendiez vraiment cet appel du support ? Est-ce normal que votre ami veuille vous vendre des cryptos ? Cette promo ne paraît-elle pas un peu trop belle pour être vraie ?

2. Vérifiez le certificat du site web
Avant de cliquer, passez votre souris sur le lien : si l’URL ne commence pas par “https”, il n’est pas sécurisé. Sur la page, vérifiez que le cadenas s’affiche bien dans la barre d’adresse.

Les certificats étant délivré par des organismes indépendants, si le site possède ce cadenas/certificat, il est presque impossible que ce soit une tentative de phishing, de malvertising ou une fausse marketplace.

3. Personne ne vous demandera vos identifiants
Ni le support officiel, ni votre banque, ni votre plateforme. Si quelqu’un vous les réclame, c’est une arnaque. Point.

4. Enfin activez la double authentification

Activez la double authentification sur vos réseaux comme sur vos applications bancaires. Si vous êtes victimes de phishing ou de credential harvesting, vous serez à la fois informé et protégé.

Marceau Dietsch.

Sources

  1. Gen Digital / Usine Digitale — Facebook concentre 56 % des menaces liées aux réseaux sociaux
     https://www.usine-digitale.fr/article/cybersecurite-facebook-concentre-56-des-menaces-liees-aux-reseaux-sociaux.N2227693
  2. Avira — Le malvertising : comment les publicités en ligne peuvent devenir dangereuses
     https://www.avira.com/fr/blog/malvertising
  3. Nord Security / NordVPN — 6 million stolen credit cards analyzed
     https://nordvpn.com/fr/research-lab/6-million-stolen-credit-cards-analyzed
  4. Cybermalveillance.gouv.fr — Définition du phishing
     https://www.cybermalveillance.gouv.fr/tous-nos-contenus/bonnes-pratiques/reseaux-sociaux
  5. CNIL — Diffusion de données piratées : quels sont les risques ?
     https://www.cnil.fr/fr/diffusion-de-donnees-piratees-la-suite-dune-cyberattaque-quels-sont-les-risques-et-les-precautions
  6. HHS.gov — Credential Harvesting Analyst Note
     https://www.hhs.gov/sites/default/files/credential-harvesting-analyst-note-tlpclear.pdf
  7. Université Laval — Définition de l’ingénierie sociale
     https://www.ulaval.ca/cybersecurite/ingenierie-sociale
  8. WIRED — How Alleged Twitter Hackers Got Caught
     https://www.wired.com/story/how-alleged-twitter-hackers-got-caught-bitcoin
  9. Bloomberg — Twitter Hack Exposes Broad Access to Account Tools
     https://www.bloomberg.com/news/articles/2020-07-20/twitter-hack-exposes-broad-access-to-account-tools
  10. CSIS (Center for Strategic and International Studies) — Zero-Days Are Rare
     https://www.csis.org/analysis/zero-days-are-rare

Publié le

Les réseaux sociaux, complices et remparts des camps de cybercriminalité en Birmanie

Quand les réseaux sociaux alimentent l’esclavage moderne

Les médias sociaux sont devenus le principal outil de communication et d’opportunités professionnelles pour des millions de personnes à travers le monde. Il est aujourd’hui un vecteur de promotion d’emplois, de formation à une multitude de sujets et de vente de tous les produits imaginables. Pourtant, ils jouent aussi un rôle clé dans l’essor des camps de cybercriminalité en Asie du Sud-Est, notamment en Birmanie. De fausses offres d’emploi circulent sur Facebook, TikTok et Telegram, piégeant des milliers d’individus qui se retrouvent esclaves du crime organisé. Une fois captifs, ces victimes sont forcées de mener des arnaques en ligne sous la menace de violences physiques et psychologiques pour escroquer d’autres futures victimes dans un double objectif : recruter toujours plus d’individus mais aussi établir des relations avec des êtres humains de manière virtuelle pour ensuite leur demander de l’argent.

Il s’agit là d’un véritable paradoxe : les réseaux sociaux sont à la fois le véhicule du problème et l’outil permettant de le dénoncer. Que ce soit en témoignant directement à l’aide de vidéos ou en exposant l’ampleur de ce qui se passe à la face du monde, ces médias sont les relais majeurs de cette atrocité qui est en train de se dérouler. En explorant ce double visage, nous comprendrons comment ces plateformes facilitent le recrutement, la surveillance et l’exploitation des victimes tout en offrant une chance de sensibilisation et de lutte contre ces crimes.

1. Le rôle des réseaux sociaux dans le recrutement des victimes

Des offres d’emploi attractives, mais mortelles

Des milliers d’annonces circulent sur Facebook, TikTok et WhatsApp, proposant des emplois bien payés dans le service client, la tech ou le marketing digital. Ces annonces ciblent principalement des jeunes sans emploi, des travailleurs précaires et des migrants en quête d’une meilleure vie. Ces emplois sont situés en Thaïlande où le salaire annoncé est suffisamment intéressant pour les inciter à quitter leur pays natal.

Une fois sur place, les candidats réalisent qu’ils ont été piégés et l’enfer démarre : ils sont amenés à la frontière birmane, où on leur confisque leur passeport, puis enfermés dans des camps gardés par de véritables milices armées. Ils deviennent alors les esclaves de groupes criminels chinois et birmans qui les forcent à mener des arnaques en ligne massives. On leur attribue des postes de travail où ils doivent atteindre des objectifs financiers et un certain nombre de personnes contactées sous peine d’être torturés physiquement.

Credit : Stefan Czimmek / DW

Des algorithmes qui facilitent la propagation

Les algorithmes des plateformes sociales jouent un rôle crucial dans l’expansion de ces pratiques en favorisant la viralité des annonces frauduleuses :

Les victimes potentielles voient des offres similaires en raison du ciblage publicitaire et de leurs recherches précédentes. Les publications sont amplifiées par des bots et des faux comptes. De nombreuses escroqueries peuvent être liées à des investissements dans des fausses cryptomonnaies. Les algorithmes de recommandation des médias sociaux, enfermant les individus dans des bulles virtuelles, proposent donc toujours plus de contenus d’un même genre. Cela augmente ainsi drastiquement les chances pour les personnes déjà les plus sensibles d’être abusées d’être convaincues par les mensonges des arnaqueurs. Les arnaqueurs utilisent en plus des vidéos trompeuses et des faux témoignages pour rendre leurs offres crédibles.

2. L’exploitation des victimes via les réseaux sociaux

Les réseaux sociaux deviennent un véritable outil de surveillance et de manipulation

Les criminels forcent les victimes à rester actives sur leurs comptes pour ne pas inquiéter leurs proches. Des vidéos manipulées sont envoyées à leurs familles pour dissuader toute recherche. Les employeurs surveillent les communications via Telegram et WhatsApp et bloquent toute tentative d’appel à l’aide. S’ils souhaitent être libérés et récupérer leurs papiers d’identité, les familles doivent souvent payer des rançons lourdes, ce qui est rarement possible puisque la pauvreté est la source du départ des individus kidnappés. 

Les réseaux sociaux servent aussi d’interface pour les arnaques imposées aux victimes :

Elles doivent créer de faux profils sur Facebook, Instagram et Tinder pour escroquer des internautes (arnaques sentimentales, faux investissements, etc…) Elles utilisent des scripts pré-écrits et des logiciels d’IA pour manipuler les victimes. Il existe aujourd’hui de véritables guides d’arnaques aux sentiments, accessibles pour quelques dizaines d’euros, pour comprendre comment s’adresser à quelqu’un de vulnérable pour qu’il s’attache et devienne dépendant de vous. Les groupes criminels exploitent d’ailleurs des deepfakes et des chatbots pour donner de la crédibilité à leurs escroqueries, être le plus réactif possible et entretenir des relations avec plusieurs personnes en même temps.

Image d’illustration, Crédit : OpenAI

Les victimes civiles : entre honte et ruine financière

Les véritables victimes de ces arnaques sont souvent des civils qui, derrière leur écran, se laissent piéger par des escroqueries bien ficelées. Une des méthodes les plus redoutables est celle du pig butchering, où les criminels créent une fausse relation affective avec leur cible avant de les convaincre d’investir dans des opportunités frauduleuses ou de demander de l’argent pour différentes raisons, cela peut être une maladie ou un problème personnel en tout genre. Le terme « d’abattage de cochon » est utilisé pour décrire le fait que les arnaqueurs tentent de récupérer de plus en plus d’argent jusqu’au dernier centime de la victime sans aucune culpabilité, même si elle doit pour ça vendre sa maison ou faire des emprunts qu’elle ne pourra pas rembourser.

L’affaire du faux Brad Pitt illustre bien l’ampleur du phénomène. Une femme française a été persuadée par un escroc utilisant l’image de l’acteur, générée par l’intelligence artificielle et des deepfakes, de divorcer et de lui envoyer plus de 800 000 euros. Ces victimes, souvent isolées, ressentent une honte immense en découvrant l’arnaque, ce qui les empêche parfois de porter plainte ou d’en parler à qui que ce soit. Certains perdent toutes leurs économies, voire s’endettent lourdement, alimentant un cycle infernal où les criminels continuent d’exploiter la crédulité et la détresse émotionnelle de leurs cibles. Plus les individus se sont impliqués dans cette relation, plus il leur est difficile d’admettre qu’ils se sont fait avoir et continuent alors à espérer et envoyer leur argent. Cette détresse peut aller jusqu’au suicide des victimes qui représente pour eux parfois la seule porte de sortie.

3. Les réseaux sociaux, instruments de lutte contre ces crimes ?

Certaines victimes réussissent à envoyer des messages d’alerte sur Twitter, TikTok ou Facebook. Des ONG comme The Exodus Road ou INTERPOL relaient ces témoignages, obligeant les gouvernements à réagir. Ces médias sociaux peuvent donc servir à de nombreux lanceurs d’alerte pour prévenir le plus grand nombre d’utilisateurs des risques de ces publications frauduleuses et comment se protéger.

Les actions des plateformes : entre modération et inertie

Face à la pression, certaines plateformes ont pris des mesures :

Facebook et TikTok affirment supprimer les annonces suspectes, mais les fraudeurs recréent sans cesse de nouveaux comptes et trouvent toujours de nouveaux moyens de véhiculer leurs messages et contacter les potentielles victimes. WhatsApp et Telegram sont en revanche pointés du doigt pour leur opacité et leur manque de coopération avec les autorités. Telegram est en général connu pour être très utilisé par les organisations criminelles car, fondé par un ressortissant Russe, il offre une grande discrétion aux utilisateurs. 

4. Un avenir incertain : que faire face à cette crise ?

Malgré la prise de conscience, les camps de cybercriminalité continuent de proliférer. Pour lutter contre cette situation, plusieurs actions sont nécessaires et doivent être prises notamment par les réseaux sociaux :

D’abord, il faut imposer aux plateformes une surveillance préventive et non réactive des annonces d’emploi, ainsi qu’une plus grande transparence des algorithmes pour empêcher la propagation de ces offres. On peut également attendre de leur part qu’ils collaborent avec les gouvernements et ONG pour signaler ces activités criminelles.

En parallèle, nous pouvons agir directement en s’informant sur les signes de ces arnaques que ce soient les offres trop belles pour être vraies ou la pseudo-légitimité des recruteurs. Il est également essentiel d’écouter et, surtout, ne pas juger les personnes victimes de ces arnaques. Cela ne mène qu’à un renfermement toujours plus intense de ses individus souvent déjà fragiles tout en encourageant les autres à ne pas en parler.

Conclusion : Un double visage à surveiller

Les réseaux sociaux ont permis la création et la propagation de ces camps de cybercriminalité en Asie du Sud-Est, mais ils sont aussi un outil essentiel pour alerter et lutter contre cette réalité atroce. La responsabilité repose autant sur les plateformes que sur les gouvernements mais il en va des utilisateurs d’être attentifs lorsqu’ils sont connectés.

Chacun se doit de rester vigilants, signaler les contenus suspects et tenter de sensibiliser son entourage et notamment les moins informés sur les arnaques en ligne. Cependant, sans une régulation stricte des plateformes, ces camps continueront de prospérer et il est de notre devoir de citoyen d’alarmer et tenter de faire bouger les choses.

Samuel Morhange


https://www.bloomberg.com/news/articles/2024-10-07/southeast-asia-s-cyber-gangs-took-37-billion-in-2023-un-says?embedded-checkout=true

https://pulitzercenter.org/stories/survivors-myanmars-scam-mills-talk-torture-death-organ-harvesting-and-battle-escape

https://www.scmp.com/news/hong-kong/law-and-crime/article/3250851/everyone-looked-real-multinational-firms-hong-kong-office-loses-hk200-million-after-scammers-stage

https://time.com/7208652/china-pig-butchering-scamdemic-crack-down

https://www.huffpost.com/entry/french-woman-brad-pitt-ai-romance-scam_l_678a99aae4b01361219018b5

https://thediplomat.com/2024/01/chinas-self-pitying-empire

https://news.sky.com/story/they-fall-in-love-with-me-inside-the-fraud-factories-driving-the-online-scam-boom-13234505

https://time.com/7160736/myanmar-coup-civil-war-conflict-timeline-endgame-explainer

https://www.sciencespo.fr/mass-violence-war-massacre-resistance/en/document/repression-august-8-12-1988-8-8-88-uprising-burmamyanmar.html

https://theexodusroad.com/online-scams-and-human-trafficking

https://projectmultatuli.org/en/families-share-horror-stories-of-indonesians-trapped-in-pig-butchering-scheme-on-myanmars-borders

https://www.dw.com/fr/birmanie-kk-park-trafic-humains-arnaque-escroquerie-internet/a-68123471

https://www.scmp.com/week-asia/politics/article/3228543/inside-chinese-run-crime-hubs-myanmar-are-conning-world-we-can-kill-you-here

https://www.interpol.int/fr/Actualites-et-evenements/Actualites/2023/INTERPOL-lance-une-alerte-mondiale-contre-des-escroqueries-reposant-sur-la-traite-d-etres-humains

https://www.nytimes.com/interactive/2023/12/17/world/asia/myanmar-cyber-scam.html

https://www.telegraph.co.uk/world-news/2025/01/14/france-ai-brad-pitt-persuades-woman-divorce-hand-over-money

Quitter la version mobile