Un badge bleu orné d'une coche blanche: c'est généralement ce symbole qui est utilisé sur les réseaux sociaux pour indiquer qu'un compte a été certifié par l'administration du site en question. Nombre important de followers, volonté de lutter contre l'usurpation d'identité ou le harcèlement en ligne: il existe de nombreuses raisons pour lesquelles un utilisateur ou une utilisatrice peut avoir envie ou besoin de faire estampiller son compte de cette façon.
Ce badge n'est pas accordé à tout le monde. D'ailleurs, tous les réseaux sociaux n'ont pas les mêmes critères, si bien qu'on peut par exemple disposer d'un compte certifié sur Twitter mais voir sa demande rejetée sur Instagram (ou le contraire). Mais attention: la certification en question peut apporter plus d'ennuis que d'avantages. The Verge raconte en effet que les tentatives de phishing se multiplient afin de dérober des comptes certifiés à leurs propriétaires.
Sur certains groupes Telegram, les comptes volés sont vendus plusieurs centaines de dollars, car ils permettent de faire plus aisément la promotion de certains scams –des arnaques en ligne– portant principalement sur des ventes de NFT. Une fois acquis, les comptes en question publient parfois plusieurs centaines de tweets en quelques heures. Ce genre de scam, lorsqu'il est bien mené, pourrait permettre à ses organisateurs d'empocher jusqu'à des centaines de milliers de dollars.
Pour s'emparer des comptes certifiés, les pirates commencent par essayer des mots de passe avec l'aide de logiciels qui leur permettent de multiplier les tentatives. Cela fonctionne régulièrement, mais dans le cas contraire (notamment lorsque la double authentification est activée), ils passent à l'étape phishing.
Le badge bleu comme hameçon
Cette phase de hameçonnage peut se dérouler par mail. Mais comme cette méthode n'est pas toujours très efficace, les hackers n'hésitent plus à utiliser un autre compte certifié déjà en leur possession, et à passer par la messagerie du réseau social. Cela leur permet par exemple de contacter un utilisateur de Twitter en se faisant passer pour des employés de la plateforme. Il suffit de se choisir la bonne photo de profil (le logo Twitter) et d'envoyer un message solennel et sérieux.
Someone I must have followed on Twitter who was blue-check verified sent this to me: pic.twitter.com/sGTlNelTki
— WUDAN YAN (@wudanyan) May 3, 2022
Chez Twitter, on affirme faire régulièrement de la pédagogie, afin que les utilisateurs et utilisatrices ne tombent pas dans les pièges tendus par les voleurs de comptes certifiés, mais on explique également que «les scams sont de plus en plus sophistiqués».
The Verge conclut en donnant l'exemple d'un spécialiste de ce genre d'opération frauduleuse, qui affirmait récemment pouvoir fournir cinq-cents comptes ornés d'un badge bleu à des trafiquants de NFT, le tout en moins d'un mois. Plus que jamais, si vous disposez d'un tel compte ou si les NFT vous intéressent, la vigilance est donc de mise.
