Hijack | comment éviter le détournement d’un compte social ?

ARTICLE-anonymousLe « Hijack », qu’est ce que c’est ?
La traduction littérale de Hijack, c’est « détournement ». Au début surtout utilisé pour évoquer les détournements d’avion, c’est le terme utilisé à l’aire du numérique pour faire allusion à toutes les prises de possession illégales de propriétés numériques (sites web, bases de données, session depuis un navigateur, objets connectés, comptes sociaux…). Mais il s’agit aussi, plus subtilement, de contenus qui sont associés à une marque et qui sont détournés par sa communauté.

Pourquoi hijacker un compte social ?
Il est bien évident que la prise de parole d’une marque avec une forte audience sur les réseaux sociaux est considérée comme « authentique », probablement davantage d’ailleurs que depuis d’autres médias. On comprend donc facilement l’intérêt pour quelqu’un de mal intentionné à prendre possession du compte d’une grande marque. On devine aussi facilement l’impact que ça peut avoir. Mais il y a aussi des détournements qui ne sont pas motivés par l’envie de nuire mais qui ne sont pas du goût de l’annonceur.

Le Hijack de comptes sociaux, en vrai :
mcdstoriesCi dessus l’exemple de Mc Donald qui pensait que tout le monde n’aurait que des histoires positives à raconter autour du hashtag #McDStories.

qantasluxuryCi dessus l’exemple de la compagnie aérienne Qantas (Airfrance australien) qui tente de fédérer les utilisateurs autour de la dimension luxueuse de ses services avec le hashtag #qantasluxury.

 

Comment se prémunir ?
Pour éviter les déboires de grandes entreprises coutées plus haut, mieux vaut choisir avec précaution les angles sur lesquels on essaie de générer une conversation. Mieux les choisir, ça suppose sans doute un peu plus d’humilité et une préposition à l’auto-dérision pour mieux réagir en cas de Hijack.

Pour les détournements plus « technologiques », au sens où un compte est piraté, la difficulté est dans le fait que les comptes sociaux sont souvent administrés à minima par le département communication et souvent aussi par le département RH, voir par de nombreux salariés de la même entreprise. Dans ce contexte, comment se prémunir d’actions malveillantes ? D’abord, mieux vaut avoir à l’esprit la structure des droits d’accès pour Facebook, Google+ et Youtube. Pour rappel :

Droits d'accès des différents rôles pour les pages Facebook

Droits d’accès des différents rôles pour les pages Facebook

Droits d'accès des différents rôles pour les pages Google+ et les chaines Youtube

Droits d’accès des différents rôles pour les pages Google+ et les chaines Youtube

 

Ensuite, il faut absolument utiliser des mots de passe « forts » quand on gère un compte devenu stratégique pour l’entreprise. Il existe de très nombreux services pour ça, à commencer par les applications natives sur Mac et PC. Il y a aussi des applications tierces comme Dashlane, Teampassword ou Manageengine qui ont l’avantage de gérer le partage des mots de passe avec une équipe.

Contrôler régulièrement que tous les profils disposant de droits d’accès aux comptes sociaux interviennent effectivement dessus.

Penser à supprimer les droits d’accès de salariés qui ont quitté l’organisation ou dont les nouveaux postes ne justifient plus les mêmes droits d’accès.

Demander à ce que toutes les sessions ne soient actives que lorsque quelqu’un intervient effectivement sur le compte. Autrement dit, demandez à ce que les intervenants se déconnectent systématiquement après une session quand ils sont identifiés avec le compte de l’entreprise. On se sait jamais ce que peut publier quelqu’un sur un compte Facebook en revenant au bureau après un apéritif prolongé.

L’hameçonnage, ça n’est pas que pour la pêche ou les sites web. Il y a régulièrement des tentatives d’hameçonnage de pages Facebook avec, notamment, des approches qui pourraient tromper un utilisateur averti : security_team

 

En plus de la formation de vos équipes sur ces sujets, une veille approfondie de votre marque sur les réseaux sociaux peut vous prémunir d’attaques du type DDoS qui nécessitent une certaine coordination.

Votre charte de community management, qui décrit notamment les process de validation des publications, fait aussi apparaitre les interlocuteurs clés de votre organisation à contacter en situation d’urgence… pour peu que ces contacts soient encore d’actualité le moment venu.

Certaines applications comme Hootsuite permettent de créer un identifiant unique pour accéder aux comptes sociaux que vous aurez définit. Vous pouvez aussi activer l’option de « double validation » pour éviter que des employés publient sur le compte de l’entreprise plutôt que sur leurs comptes personnels.

 

Vous remarquerez que le Hijacking de comptes sociaux est bien différent du Newsjacking décrit ici et là. Et ça, c’est pour bientôt dans un autre article.

 

★ Merci d’être passé(e) par là ★

 

Encore sur cette page ? Voilà des ressources qui pourraient vous intéresser :
http://facecrooks.com/Scam-Watch/Page-Security-Team-Phishing-Scam-Targeting-Facebook-Page-Admins.html
http://netintelligenz.net/post/94059571668/social-media-security-4-steps-to-fight-social-media




LEAVE A REPLY

Your email address will not be published.


Comment


Name

Email

Url


Ce site utilise Akismet pour réduire les indésirables. Apprenez comment les données de vos commentaires sont utilisées.