La première des choses à savoir, c’est que cela peut arriver à tout le monde, un jour comme tous les autres. « Je préparais mes cartons pour le salon du chocolat, raconte Laure Mannessier, fondatrice de la marque de chocolat Carrés Sauvages. Fin octobre, en soirée, j’ai reçu un message privé d’un compte intitulé “Instagram Support”. J’étais éligible pour devenir certifié. » Comme beaucoup de marques « Digital Native », Instagram lui permet de rester connectée à sa communauté, et de vendre sur la plateforme à l’aide d’une boutique en ligne développée par Meta. « Instagram représente entre 20 et 30 % de mon chiffre d’affaires », insiste-t-elle. À quelques semaines de Noël, son compte est vital. Il l’est aussi pour Myriam Giri, jeune lyonnaise fondatrice de Holyblends, une marque de snacking sain. « J’ai créé mon compte il y a trois ans, mais cela fait un an et demi que j’ai lancé ma marque », raconte-t-elle. Avec 12 000 followers, Instagram pèse 70 % de son chiffre d'affaires, sans compter le trafic généré sur son site e-commerce. « C’est plus qu’un compte de marque, c’est presque mon bébé. Le ton y est personnel et j’interagis énormément avec ma communauté. C’est un travail quotidien », décrit-elle. Elle recevra le même message dans ses DM, tôt le matin. « On ne va pas se le cacher, cela flatte votre ego d’entrepreneur. Quand Instagram vous propose de devenir certifié, c'est une reconnaissance, vous vous dites que votre travail paye », reconnaît-elle.
Quitte à ne pas se méfier ? « Le compte est très bien fait. J’ai regardé un peu avant d’aller plus loin, il était même suivi par des personnes que je connaissais », assure-t-elle. Et dans la cohue des tâches quotidiennes, comme Laure et comme beaucoup d’autres, elle initie la procédure à laquelle l’invite le faux messager.
Tout s’est passé en à peine 10 minutes. Elle remplit un petit formulaire lui demandant son nom d’utilisateur et son mot de passe. Puis reçoit sur WhatsApp un message avec un code de vérification. « Hello je suis Jackson, des équipes de certification d’Instagram », indique-t-il. Elle rentre le code et trois secondes plus tard, reçoit une capture d’écran de son compte en langue turc, et une demande de rançon de 700 euros. Le procédé diffère parfois selon les informations que le cybercriminel possède.
Lien rompu
« Au début, on n'y croit pas. On essaye de se reconnecter mais c’est impossible. D’un coup, votre marque ne vous appartient plus », se souvient-elle. « Qu’est ce que je m’en suis voulu ! » se remémore Laure Mannessier.
Les victimes tentent de se rassurer, mais ne savent pas encore, à ce moment, qu’elles vont se confronter à un mur bien trop grand.
Ce mur, toute l’équipe de la Brigade du Tigre, un jeune restaurant parisien fondé par Galien Emery et Adrien Ferrand, s’y confronte encore. Leur compte Instagram dénombre moins de 10 000 abonnés, il ne draine pas de chiffre d’affaires, mais c’est une vitrine importante. « Toutes les personnes qui ont accès au compte ont été bloquées en même temps », raconte Lola Perali, la community manager du restaurant. Le kidnappeur demande 500 euros. « Mais hors de question que l’on paye la rançon », tranche Galien Emery. Il reçoit deux mails : s’il n’est pas à l’origine des modifications, il peut cliquer sur le lien « sécurisez votre compte ». « Mais cela n’aboutit jamais, on arrive sur une page de lien rompu qui n’existe pas », critique-t-il. Idem pour Laure, Myriam et tous les autres.
Un « cri dans le vide »
« Alors nous avons regardé la procédure pour retrouver nos accès, raconte Galien Emery, nous avons cherché pour appeler l’assistance téléphonique d’Instagram, mais en France elle n’est pas disponible. Seul un mail est indiqué. » Ils écrivent plusieurs fois, pendant plusieurs jours, sans jamais recevoir de réponse. « Même pas un accusé de réception automatique ! », s’emporte-t-il. « On est totalement démuni, on a l’impression de crier dans le vide », explique Myriam Giri.
« On a relu des dizaines de fois les procédures, seules trois lignes nous concernaient, invitant à faire une reconnaissance faciale. Lorsque nous cliquions, cela ne fonctionnait jamais », s’emporte Galien Emery. Ils naviguent entre les liens, les formulaires, les directives, « Mais on ne fait que tourner en rond dans une sorte de Foire aux Questions », décrit Laure Mannessier. Toutes les histoires que nous avons entendues sont les mêmes.
Le temps passe, et personne n’obtient de réponse. « Votre compte a disparu, et vous restez seule face à votre téléphone », décrit Myriam. Pour elle, chaque jour est un jour de salaire en moins. Désemparée, elle tente d’aller à la gendarmerie qui ne comprendra même pas sa demande. « Ils ne sont pas du tout formés pour intervenir dans ce cas-là », déplore-t-elle. Elle ne sera pas prise au sérieux : perdre un compte Instagram ne fait pas partie des priorités du monde. « Mais il s’agit de mon entreprise ! Si quelqu’un venait brûler mon magasin, ils réagiraient autrement. Nous sommes dans la même situation », illustre-t-elle. Elle tente une deuxième fois dans un commissariat de Lyon, qui lui, prendra sa plainte. « Mais je sais bien qu’elle n’a aucune chance d’aboutir », soupire-t-elle.
Face à une procédure digne de la maison des fous, chacun y va de sa débrouille, et demande des conseils ailleurs. « Au début on a honte », argue Laure Mannessier. Le hacking est un tabou. Après tout, n’est-ce pas de leur faute ? La culpabilité réduit au silence, et certaines victimes refusent encore d’en parler. « C’est aussi très mauvais pour l’image de marque, car vos abonnés le voient, certains se désabonnent », raconte Myriam. À force de ne pas payer, le hacker s’énerve, menace de supprimer le compte. Chose qu’il finit par faire dans la plupart des cas. « On tente de se rassurer, de se dire que tout est sauvegardé dans les serveurs, mais même cela, on finit par en douter », raconte-t-elle.
Combines
Dans cette solitude, chaque nouveau point de contact est une lueur d’espoir. « On tente de faire marcher son réseau », raconte Laure. En tant qu’entrepreneurs, ils peuvent «connaître quelqu’un qui connait quelqu’un» qui travaille chez Meta, et accélérera la procédure. « J’ai eu de la chance, et j’ai pu échanger par mail avec le service client. Dix jours après, j’ai récupéré mon compte », raconte Laure. D’autres n’ont pas eu cette veine. « J’ai même écrit à une ancienne collègue de promotion, haut placé chez Meta, mais n’ai jamais eu de retour », décrit Myriam, déçue. « Nous, on ne connaît personne, regrette Galien. Nous avons envoyé des messages sur LinkedIn, à des cadres de Meta, toujours sans réponse. » Myriam a eu vent d’une autre combine : « Un community manager m’a dit qu’il fallait passer par le support publicitaire de Facebook. J’ai écrit en disant que je ne pouvais plus faire de publicité car mon compte avait été hacké, et j’ai été rappelée dans la journée. Ç'a été très efficace. » Elle le retrouvera en 48 heures, une semaine après le hacking.
Aurélie Chavas, connue comme LilyfromParis, a fini par payer la rançon. Spécialisée en Beauty Tech, son compte de plus de 5 000 abonnés est vital pour faire valoir son expertise. « J’ai beaucoup échangé avec le hacker, plus qu’avec Instagram ! J’ai même tenté de faire un faux paiement… Il n’a pas aimé du tout ! » Elle versera l’argent via Western Union. « Je sais que ce n’est pas bien, mais je n’avais aucune autre solution. J’ai pu contacter Meta via une amie au siège. Au bout de quelques jours j’ai reçu un mail en turc [la langue s’adapte en fonction du lieu de la dernière connexion du compte] pour récupérer le compte, mais cela ne fonctionnait pas. Le hacker s’énervait et commençait à faire des stories sur mon compte, écrire à mes contacts et dire qu’il était à vendre. Il s’amusait de partout, ça devenait n’importe quoi, s’emporte-t-elle. Je n’arrêtais pas de relancer Meta, mais rien ne se passait. Au bout de dix jours, je me suis résolue à payer. » Elle tente même de négocier. Dès le virement reçu, elle retrouve ses codes. Sans aucune autre conséquence. Depuis, et affirmant que Meta a fauté, elle tente de demander un remboursement à l’entreprise.
Petits pirates
« 14% des entreprises françaises ont fait l’objet d’une cyberattaque avec une demande de rançon, indique le rapport de la député Valeria Faure-Muntian (LREM) sur la cyberassurance, publié fin octobre. Dans près de deux cas sur trois, les victimes se sont acquittées de la rançon. Ce qui fait de la France l’un des pays qui paye le plus au monde. » Tant et si bien que la députée veut siffler la fin de la récréation et imposer aux assureurs ne plus rembourser les rançons comme préjudice de hacking.
Selon Simon Templar, alias du fondateur du collectif Balancetonhacker « la moitié des gens finissent par payer. » Simon est spécialisé en sécurité informatique. Après avoir aidé une amie victime du même chantage, il a mené sa propre enquête, infiltré un groupe de hackers et interrogé des membres du support de Meta. Selon lui, « on n’est qu’au début de la vague, et le problème va s’intensifier. Il y a des failles partout et aucune coordination. » Il a décidé de suppléer bénévolement le support officiel et de faire de la sensibilisation. Il reçoit entre 20 et 30 demandes d’aide par semaine. « 90% des hacks auxquels j’ai à faire viennent de Turquie. Ce ne sont pas des hackers très techniques, mais de petits pirates. Il y a souvent peu de risques d’infection pour les appareils. C’est l’équivalent du vol à la tire et c'est leur business. » Sur son blog, il détaille son enquête. « Ils opèrent par groupe de quatre ou cinq personnes, et sont sur le qui-vive en permanence », détaille-t-il.
Camille Labro, elle, est journaliste. Après s’être fait hacké son compte de « personnalité publique », à la fois pro et perso, dans les mêmes conditions, à la fin de l’été, elle fait appel à Balancetonhacker. « En parallèle, j’ai eu un contact au siège de Californie qui faisait avancer mon dossier. Finalement, on m’a aussi envoyé un lien pour récupérer mon compte, mais ça ne fonctionnait jamais », se souvient-elle. Elle retrouvera son compte quelques jours plus tard, sans savoir si c’est la procédure Balancetonhacker ou celle du siège qui aura abouti. « Finalement, je ne sais toujours pas le fin de mot de l’histoire et quel procédé a été efficace… », ironise-t-elle.
Est-ce la faute des plateformes ? « Ce sont nos contenus qui les font vivre. Certes, on doit se protéger, mais dans leurs obligations, ils doivent faire attention à la sécurité du système. Le hacking, ce n’est pas la faute d’Insta, mais le fait qu’on n'ait aucun support derrière, c’est quand même problématique », tempête Galien Emery.
Instagram affirme avoir investi pour supprimer les comptes de hacking et travailler continuellement à son système de récupération. Mais démunies face à des procédures ubuesques, toutes les victimes s’insurgent. « En septembre, une start-up nous avait contactés car elle avait été piratée juste avant une levée de fonds, raconte Merav Griguer, avocate associée de Bird&Bird, spécialisée sur réseaux sociaux. Nous avons dû envoyer des lettres de mis en demeure pour faire avancer les choses. » Ce n’est pas que la procédure ne fonctionne pas, c’est qu’elle est longue, très longue, bien plus longue que les durées courantes dans le digital. Alors les victimes payent, incitant les hackers à recommencer.
Hiérarchie des comptes
Tout comme d’autres plateformes, Instagram a permis aux commerces de résister pendant la crise. Les chiffres ne font qu’exploser. Mais face à cette hypercroissance, elles ont du mal à suivre. La firme a triplé ses équipes de sécurité, sur les dernières années, à 40 000 personnes. « Mais personne ne se rend compte du volume que cela représente. Former quelqu’un au support prend trois semaines. Même avec beaucoup de moyens, cela prend un temps fou », tempère Simon Templar. Et l’automatisation ne résout pas tout. Et l’automatisation ne résout pas tout, face à des problèmes toujours particuliers. « Il y a des modèles qui permettent de comprendre, mais chaque signalement recouvre une histoire différente », ajoute-t-il. «Pourtant, la manip ne leur prend quelques secondes», insiste Camille Labro. Mais pris en étau entre la protection des données personnelles qui alourdit les processus et l'agilité, la procédure de récupération reste complexe à mettre en place à grande échelle pour les plateformes.
En outre, « elles n’ont pas d’obligation de services, résume Jean-Jacques Latour, responsable de l’expertise cybersécurité pour Cybermalveillance.gouv.fr, une émanation de l’Autorité nationale de la sécurité des systèmes d’information qui vise à sensibiliser et supporter les victimes. C’est dans leur conditions générales. Ce sont peut-être des médias remarquables pour toucher une audience, mais elles ne sont redevables de rien. Et on ne peut pas dire d’aller ailleurs, car il n’y a pas d’ailleurs… » Alors les plateformes priorisent. « Meta hiérarchise les comptes en fonction de votre valeur de business sur la plateforme, explique Simon Templar. Selon votre compte vous n’avez pas accès à la même interface, et donc êtes mis en relation soit avec le support humain, que l'on appelle "la conciergerie" ou soit avec la procédure automatisée », dont la demande sera traitée plus tard par des humains... Et le support client suit ainsi la logique du marché. Mais la croissance du social commerce verra l’arrivée de nouvelles TPE sur le réseau, Meta pousse beaucoup en ce sens. « Le support n’était pas un sujet prioritaire, mais ça doit le devenir de manière urgente », estime Merav Griguer. Tout autant que la sensibilisation du public et des professionnels. « Qui utilise la double authentification, gère ses mots de passe ? s’interroge Jean-Jacques Latour. Ça ne garantit pas à 100 % mais ça limite déjà beaucoup le hacking. » C’est fortement conseillé par Instagram, et devient obligatoire pour les comptes Business, mais reste encore peu appliqué, notamment pour les « petits » comptes professionnels. « Le problème c’est que la sensibilisation en amont n’est pas assez importante. Les gens oublient, il leur faut des piqûres de rappel régulièrement », argue Simon Templar. « Le hacking de compte (toute plateformes confondues) est considéré comme la deuxième menace numérique pour les particuliers et les entreprises, sur une liste de 47… prévient Jean-Jacques Latour, c’est dire son importance. »
Un système rempli de failles
Le hacking rapporte, parce que tout le système est rempli de failles, des trous béants au sein desquels les cybercriminels n’ont qu’à se glisser pour se servir. Les personnes ne sont pas suffisamment informées, ne prennent conscience de l’enjeu qu’en cas de problèmes, et les plateformes sont à la peine pour répondre convenablement face au nombre de demandes. La moitié des TPE-PME françaises sont présentes sur Instagram. Autant de poissons dorés dans l’océan numérique. Les cybercriminels n’ont qu’à tendre les bras. « Les comptes semi-pro sont la cible parfaite. Qui payerait une rançon pour un compte personnel de quelques centaines d’abonnés ? », clame Simon Templar. En outre, le montant est assez faible pour que les victimes acceptent de payer, mais assez élevé pour que ça soit important.
Le digital avance, mais personne ne mesure pleinement ses impacts, le public comme les plateformes et les pouvoirs publics. « C’est une attaque virtuelle, mais la souffrance des victimes est bien réelle. C’est comme si on leur avait volé leur enseigne », argue Merav Griguer. « Même quand on retourne sur son compte après, c’est étrange, détaille Myriam Giri. C’est un vrai traumatisme. Il pu regarder vos messages, votre vie. C’est comme si un voleur était entré et avait fouillé chez vous. » Pour avancer, des avocats réfléchissent à utiliser le RGPD. « Le criminel a accès aux données analytiques des abonnés, qui sont à caractère personnel. Ce qu’il like, ce qu’il a commenté etc. Vous devez donc saisir la Cnil et informer les personnes touchées. Une obligation pour le titulaire du compte et la plateforme, en tant que co-responsable du traitement. » Qui le sait ? Cette obligation permettrait d’ouvrir une fenêtre de tir afin de remuer la procédure en place, et mobiliser tout le monde sur le sujet. En attendant, gérez bien vos mots de passe, ou soyez patients…
