Dossier du mois

Comment j’ai réussi à sauver le compte Instagram de mon OT d’une cyberattaque

Publié le 6 juillet 2022 , par Samantha Ambrosioni
Accueil > Blog > Dossier du mois > Comment j’ai réussi à sauver le compte Instagram de mon OT d’une cyberattaque

Parler de cybersécurité juste avant la pause estivale, on a connu mieux pour mettre l’ambiance dans les bureaux, non ? Je suis sûre que, comme moi, on ne vous la fait pas de tous ces mails « frauduleux » que vous recevez dans votre boîte mail et qui vous disent que vous venez de gagner au loto (alors que votre dernier grattage de bingo remonte à Noël 2006) ou que votre crédit CPF va bientôt expirer.

Clara Darget-Lacoste, chargée de communication numérique au sein de Dombes Tourisme (Office de Tourisme à Châtillon-sur Chalaronne, 01), pensait, elle aussi, ne jamais se faire avoir par ces techniques de phishing (=hameçonnage). Jusqu’à ce que le compte Instagram de son office de tourisme se fasse pirater en mai dernier. En écoutant son histoire (qui se termine bien ne vous inquiétez pas), je réalise que le monde du tourisme est loin d’être à l’abri de ces cyberattaques qui sont malheureusement de plus en plus nombreuses et qui peuvent avoir de lourdes conséquences.

Pas de panique ! Quelques gestes simples – expliqués en 2e partie de cet article par Philippe Dujardin, expert en cybersécurité et RGPD chez Covateam – permettent de se prémunir de ces attaques.

En tant que chargée de communication numérique, j’utilise en permanence les outils en ligne tels que notre site internet, les réseaux sociaux, newsletters, etc. Jusqu’ici, je considérais que j’étais un peu sensibilisée au sujet de la cybersécurité (sans pour autant avoir véritablement mis en place des mesures concrètes) et que je ne pourrais jamais me faire avoir par des techniques de phishing qui me paraissaient tellement évidentes.  

Le 26 avril, je reçois un mail d’une adresse qui semble officielle et qui m’annonce que le compte business Instagram de Dombes Tourisme est certifié. On m’invite à me connecter à Instagram via un lien – ce que je fais – qui s’ouvre sur une page qui ressemble presque trait pour trait à Instagram. A savoir (mais sur le coup, je l’ignorais) : la certification Instagram ne s’obtient jamais par mail !

Sur le moment, je ne réalise pas que c’est du piratage. C’est en recevant un mail m’alertant que mes identifiants ont bien été modifiés que je comprends. Je n’ai alors plus accès au front office de notre page Instagram avec mes identifiants. Dans la foulée, je suis contactée par le hacker qui réclame une rançon de 100€ pour récupérer le compte Instagram.

Premier réflexe : je contacte de toute urgence le support Méta Business qui exige un dossier notarié pour prouver que le compte Instagram appartient bien à Dombes Tourisme. On se rapproche d’un notaire, on récolte pleins de pièces justificatives mais après avoir passé près de 2h30 au téléphone avec le support Facebook Meta, la réponse est sans appel : “ce n’est pas dans notre champ d’action” car Facebook Meta et Instagram Business ont deux fonctionnements distincts (quand bien même ils appartiennent au même groupe).

Heureusement, malgré le piratage de notre compte Instagram, j’avais toujours la possibilité de poster ou dépublier les contenus de notre compte Instagram via Creator Studio. Ce qui me permettait de supprimer dans la foulée les stories que créait le hacker. A ce moment-là, j’étais prête à supprimer le compte.

Deuxième tentative, je prends contact avec d’autres offices de tourisme qui ont été victimes de piratage dans le passé (et je réalise par la même occasion qu’ils sont très nombreux) :

  • Certains offices de tourisme ont décidé de payer la caution exigée par le hacker et ont pu récupérer leur compte après plusieurs semaines,

  • Loire Tourisme a choisi de faire une conférence de presse pour rendre l’information publique, ce qui a alerté un informaticien qui a trouvé une faille dans le hacking et a pu récupérer le compte (j’ai également contacté cet informaticien qui n’a rien pu faire pour moi),

  • Grenoble Tourisme a dû supprimer son compte Instagram qui comptait 25 000 abonnés suite à un piratage. Encore aujourd’hui, l’office n’a toujours pas réussi à récupérer toute sa communauté

Je ne voulais pas me soumettre aux exigences du hacker, car rien ne me garantissait que ce dernier me rendrait mon compte. J’essayais de gagner du temps en lui faisant croire que j’allais payer pour qu’il ne soit pas tenté de supprimer notre compte.

Epilogue

Bien entendu, j’ai essayé à maintes reprises de contacter Instagram via leurs formulaires (car il n’existe pas, à ce jour, de support d’aide par téléphone ou par mail pour Instagram). A chaque fois, on me répondait que rien ne me reliait au compte Instagram de Dombes Tourisme, car il n’y avait aucune photo de moi dans le fil. La situation me pesait, j’en avais marre de recevoir des messages du hacker qui me pressait de payer sous peine de supprimer notre compte.

Ultime tentative, je décide de poster une photo de moi sur le compte Instagram de Dombes Tourisme. Dans la foulée, je fais une nouvelle réclamation auprès d’Insta en précisant que j’apparais bien sur une photo du fil. Instagram me demande alors d’envoyer une vidéo de mon visage et là…surprise! Ils m’ont rendu le compte après seulement 5 – 10 minutes d’attente. J’ai donc pu supprimer tout ce qui reliait le hacker au compte puis installer l’application Duo Mobile pour activer la double authentification.

J’ai été hacké le 26 avril et le problème a été solutionné 1 semaine après. Depuis, j’ai renforcé la sécurité de mes comptes, j’ai changé mes mots de passe et arrêté d’utiliser le même sur tous mes comptes.

Les hackers sont de plus en plus professionnels et s’appuient sur les failles d’Instagram en matière de support technique pour pirater les comptes. Pour récupérer son compte, c’est donc presque impossible. Il est important de rester vigilant, même quand on pense être alerté sur le phishing, même si on utilise un anti-spam, car des fois, ça passe à travers les mailles !

Clara darget-lacoste – DOMBES TOURISME

Les bons gestes qui peuvent sauver votre système d’information !

Comme dans toute histoire, le héros (donc vous) peut s’appuyer sur des alliés (ici des gestes pratiques) pour lutter contre les méchants cyber-hackers. Philippe Dujardin, du cabinet de conseils Covateam, a revêtu sa cape d’expert cybersécurité et RGPD pour nous donner quelques conseils pratiques à adopter sans plus tarder : 


Il y a une très forte augmentation des tentatives de hacking, dans tous les types de structures, y compris le tourisme. On ne s’en rend pas compte car peu d’entreprises médiatisent ces affaires quand elles en sont les victimes. Personne n’est épargné !

Philippe DUJARDIN – Covateam

1/ Faire des sauvegardes régulières (voir quotidiennes) de son serveur

En règle générale, ces sauvegardes sont assurées par des prestataires externes. Elles permettent ainsi de ne pas perdre toutes ces données en cas de piratage numérique et évitent de payer par la même occasion une rançon pour espérer les récupérer

2/ Sur sa messagerie, n’ouvrir que les emails et cliquer sur les liens pour lesquels on est sûr

Avec la professionnalisation des hackers, les mails sont de plus en plus travaillés dans leur design, leurs textes. Il est important de vérifier à chaque fois l’adresse d’envoi qui peut mettre la puce à l’oreille.

3/ Installer des logiciels de protection contre les attaques (antispam) sur son ordinateur, mais aussi sur son smartphone

A savoir qu’il est recommandé d’installer 2 applications distinctes sur son smartphone pour ouvrir son adresse mail perso et pro. Cela évite une propagation du piratage entre les deux environnements.
Privilégier les logiciels de protection payants (environ 30 – 50€ par an par poste) qui sont plus efficaces que les versions gratuites.

4/ Verrouiller automatiquement sa session de travail lorsque l’on quitte son poste

Même à la pause café. Cela permet de se protéger contre des tentatives de vol de données, en particulier pour les salariés qui sont en lien avec du public extérieur.
Pour verrouiller son ordinateur en 2 secondes : raccourci Windows + L / Contrôle + Commande + Q sur un Mac

5/ Utiliser un mot de passe complexe et différent pour chaque compte / site

« Oui, mais comment on les retient tous ? » La solution est simple : installer Keepass, un gestionnaire de mots de passe gratuit et 100% sécurisé. Il rassemble l’ensemble de vos logins, mots de passe et autres numéros de comptes dans une seule interface. Vous n’aurez plus qu’à retenir un seul mot de passe, celui de la base de données du logiciel.

Attention ! Les navigateurs Internet (Chrome, Firefox, Explorer…) proposent d’enregistrer des mots de passe. Il est déconseillé de le faire car ils sont affichés en clair sur nos ordinateurs. En cas de vol du matériel, le vol des données est donc simplifié !  A savoir, qu’il est possible de cocher l’option cryptage.

La tendance n’est pas de mettre à jour régulièrement ses mots de passe. Il vaut mieux avoir des mots de passe complexes avec 12 – 18 caractères avec ces systèmes de mémorisation de mot de passe plutôt que de les renouveler plusieurs fois, avec le risque d’oubli.

6/ Ne jamais envoyer des mots de passe par mail

Même en interne ou écrit sur un document Word / Excel / papier !

7/ Utiliser la double authentification

En plus de la saisie d’un mot de passe, le système nous envoie un code par sms, ce qui renforce la sécurité. On peut l’utiliser sur ses comptes réseaux sociaux, les messageries, les logiciels, les accès à sa banque en ligne… Cela permet de se prémunir des vols de mots de passe.

Dans le cas de comptes partagés par plusieurs salariés en interne (pour les réseaux sociaux, les sites web WordPress, ou des logiciels en ligne par exemple), il est préconisé d’avoir des authentifications individuelles plutôt que collectives / génériques. La plupart de ces outils disposent d’un tableau de bord administratif qui permet d’ouvrir et/ou supprimer des accès utilisateurs (avec des niveaux de rôles différents). Pensez à bien supprimer ces accès lorsqu’un salarié quitte la structure.

8/ Partager des documents via des outils de transfert ou de partage plutôt que par mail

Lorsque l’on collabore avec des partenaires ou prestataires externes, on peut être amené à travailler / partager des documents. Privilégiez les outils de transfert ou de partage en ligne (comme www.grosfichier.com) plutôt que les mails.
WeTransfer est à éviter car il s’agit d’une société américaine (où la protection des données ne suit pas la même réglementation européenne) qui peut disposer, si elle le souhaite, des documents échangés.

On peut aussi créer des espaces collaboratifs temporaires via le cloud comme Sharepoint, Google Drive sur lesquels sont ouverts des droits d’accès à ses partenaires externes. En plus de faciliter la collaboration et la protection des données, on contribue aussi à la sobriété numérique en envoyant moins de mails avec pièces jointes !

9/ Sécuriser ses impressions papier

Sur certaines imprimantes nouvelle génération, il est possible de paramétrer des codes utilisateurs sur ses imprimantes. On évite ainsi les vols d’impression ou l’accès à des données confidentielles…

10/ S’assurer de la gestion des droits en interne aux différents documents / fichiers sur son serveur

Exemple : seule les personnes en charge des RH et Direction peuvent avoir accès aux dossiers RH. Là encore, les accès doivent être ouvert nominativement (et donc pas à des mails génériques partagés par plusieurs personnes).

Que faire en cas de piratage ?

Malgré toutes ces précautions, personne n’est infaillible. Que faire si on a cliqué par mégarde sur un lien piraté dans un mail ? On rentre alors dans un système de gestion de crise :

  1. Je coupe mon ordinateur du réseau pour éviter une propagation à tout le système

  2. Je préviens la personne qui gère le système informatique dans ma structure. Cette dernière s’assurera de l’état de l’impact de l’attaque. En fonction également des sauvegardes, les données pourront être récupérées jusqu’à la dernière sauvegarde.  

  3. Dans tous les cas, il est fortement déconseillé de payer la rançon du hacker. Il n’y a en effet aucune garantie que l’on va récupérer ses accès. A savoir que l’argent de ces rançons alimente bien souvent des causes terroristes, des trafics illégaux, etc. Moins on paye, moins on alimente ces gens-là !

Toutes ces bonnes pratiques contribuent au renforcement de la sécurité des données, en interne comme en externe. A vous de vous lancer !

Autres articles

Une nouvelle solution pour la montée en compétences des socio-pros

NOUVEAU

Une nouvelle solution pour la montée en compétences des socio-pros

Institutionnels du tourisme, collectivités, réseaux...
Vous souhaitez accompagner les socio-pros dans leur montée en compétences ?

Organisez avec Trajectoires Tourisme un Evènement Thématique clé en main sur votre territoire.

Découvrez en + ici