Points clés
- En 2020, Twitter a subi une compromission massive via l'ingénierie sociale ciblant ses employés — 130 comptes de dirigeants mondiaux détournés en quelques heures.
- Les plateformes sociales exposent les organigrammes, les projets stratégiques et les relations d'affaires bien avant que les attaquants lancent une attaque technique.
- La présence institutionnelle non maîtrisée devient un actif d'intelligence pour les adversaires, pas un outil de communication.
- Les directions qui ne gouvernent pas leur empreinte sociale transfèrent de facto la gestion de ce risque à chaque employé individuellement.
Les réseaux sociaux ont profondément modifié la surface d'attaque des organisations. Ce qui était autrefois réservé aux campagnes de communication est devenu l'une des premières ressources exploitées par les attaquants pour préparer une intrusion, cibler un responsable ou compromettre une chaîne d'approvisionnement. La direction générale doit appréhender ces plateformes non seulement comme des canaux de visibilité, mais comme des vecteurs d'exposition documentés et mesurables.
L'enjeu n'est pas de supprimer toute présence en ligne — ce serait contre-productif. Il s'agit de comprendre que chaque publication institutionnelle, chaque profil d'employé et chaque interaction visible contribue à construire un dossier de reconnaissance que les adversaires exploitent systématiquement avant toute attaque sérieuse.
Ce que les attaquants cherchent sur les réseaux sociaux
Les plateformes professionnelles comme LinkedIn permettent d'identifier en quelques minutes les responsables techniques, les prestataires sous contrat, les technologies utilisées et les projets en cours. Cette information est gratuite, publique et légale à collecter. Les attaquants l'utilisent pour construire des campagnes de hameçonnage ciblé (spear phishing) d'une précision qui contourne les défenses périmètriques classiques.
En 2023, l'attaque contre MGM Resorts a débuté par une recherche LinkedIn du nom d'un responsable IT, suivie d'un appel au service d'assistance en usurpant son identité. Le résultat : 100 millions de dollars de pertes et plusieurs semaines d'interruption. Aucune vulnérabilité technique n'a été exploitée en premier — c'est l'information sociale qui a ouvert la porte.
L'organigramme exposé comme asset d'attaque
Chaque employé qui renseigne son poste, son département et ses responsabilités construit collectivement l'organigramme de l'organisation. Les attaquants peuvent ainsi identifier qui approuve les virements, qui a accès aux systèmes critiques, qui est joignable par quel canal. Cette cartographie humaine est aussi précieuse que la cartographie réseau pour planifier une attaque avancée.
En 2021, 500 millions de profils LinkedIn ont été scrapés et mis en vente sur des forums cybercriminels. Pour les organisations dont les employés avaient des profils détaillés, cela représentait une fuite de données organisationnelles sans qu'aucun système interne ne soit jamais compromis.
Les publications qui livrent les projets stratégiques
Les annonces de recrutement, les publications de partenariats, les posts sur les succès commerciaux et les communications de transformation numérique livrent involontairement des informations stratégiques. Les attaquants qui ciblent une organisation lisent ses annonces de recrutement pour identifier ses prestataires cloud, ses outils de sécurité et ses projets d'infrastructure — autant d'informations utiles pour préparer une attaque ciblée contre les maillons les plus faibles.
Colonial Pipeline, victime d'un ransomware en 2021 ayant paralysé l'approvisionnement en carburant de la côte Est américaine, avait publié via des offres d'emploi des informations précises sur ses systèmes OT/IT. Ces publications ont contribué à orienter les attaquants vers les points d'entrée les moins sécurisés.
La gouvernance sociale comme décision de direction
Les organisations qui définissent une politique claire de présence sur les réseaux sociaux — rôles autorisés, contenus interdits, procédures de validation — réduisent significativement leur exposition involontaire. Cette gouvernance n'est pas une contrainte à la communication : c'est un cadre qui protège l'efficacité de la présence institutionnelle tout en limitant les informations exploitables par des acteurs malveillants.
La direction générale doit arbitrer entre visibilité commerciale et maîtrise du risque informationnel. Ce choix ne peut pas être délégué uniquement aux équipes marketing ou communication — il engage la responsabilité de l'ensemble de l'exécutif.
Études de cas
Twitter 2020 — L'ingénierie sociale contre les employés
En juillet 2020, des attaquants ont compromis les outils internes de Twitter en convainquant des employés par téléphone de leur transmettre leurs accès. 130 comptes de personnalités mondiales (Barack Obama, Elon Musk, Joe Biden) ont été utilisés pour une arnaque au Bitcoin ayant rapporté 120 000 dollars en quelques heures. L'attaque n'a exploité aucune vulnérabilité technique — uniquement des informations récoltées sur les réseaux sociaux pour cibler les bons employés avec les bons prétextes.
MGM Resorts 2023 — LinkedIn comme point de départ
Le groupe Scattered Spider a identifié un responsable IT de MGM sur LinkedIn, puis a appelé le helpdesk en usurpant son identité. Sans aucune exploitation technique, les attaquants ont obtenu des accès suffisants pour déployer un ransomware paralysant les opérations hôtelières pendant plusieurs semaines. Les pertes estimées dépassent 100 millions de dollars. La compromission initiale a duré moins de 10 minutes.
Bundestag 2015 — OSINT préparatoire
L'attaque APT contre le Parlement allemand a été précédée d'une phase intensive de collecte d'informations via les réseaux sociaux professionnels pour identifier les cibles les plus accessibles au sein des équipes techniques. Les profils LinkedIn et Xing des employés ont permis de cartographier précisément qui contacter, comment et avec quel prétexte. L'attaque a permis de subtiliser 16 gigaoctets de données parlementaires.
États-Unis — Colonial Pipeline et les offres d'emploi comme renseignement
L'analyse des offres d'emploi publiées par Colonial Pipeline avant l'attaque de 2021 a révélé des détails précis sur l'architecture hybride IT/OT de l'entreprise. Ce type d'OSINT (Open Source Intelligence) est désormais systématiquement exploité par les groupes ransomware professionnels pour évaluer la valeur d'une cible et identifier ses points faibles avant d'engager une intrusion.
Royaume-Uni — British Army, comptes institutionnels détournés (2022)
Les comptes Twitter et YouTube officiels de l'armée britannique ont été compromis en juillet 2022 et utilisés pendant plusieurs heures pour diffuser des arnaques aux cryptomonnaies. L'incident a mis en évidence l'absence de procédures de sécurité robustes pour les comptes institutionnels à haute visibilité. La restauration des comptes et la gestion de crise ont mobilisé plusieurs équipes pendant 48 heures.
Corée du Nord — Lazarus Group et le recrutement fictif sur LinkedIn
Le groupe Lazarus, associé aux services de renseignement nord-coréens, utilise systématiquement de faux profils de recruteurs sur LinkedIn pour approcher les employés d'entreprises ciblées. En 2022, cette technique a conduit à la compromission d'un développeur de Ronin Network (Axie Infinity), entraînant un vol de 620 millions de dollars en cryptomonnaies. Le vecteur initial était un document PDF transmis via LinkedIn.