Dans ce nouvel incident, l'attaque s'est matérialisée par l'envoi de "messages directs" aux "followers" (suiveurs) de la banque, dont l'objectif était de s'emparer des mots de passe de leurs comptes Twitter. Ainsi, comme dans le cas précédent de First Direct, qui avait involontairement relayé des messages pornographiques, les comptes bancaires n'étaient pas ciblés. Jusqu'à maintenant, le pire semble donc avoir encore été évité.
Mais il ne faut pas s'y tromper, le risque est bien réel. Si les escroqueries par mail (phishing, par exemple) fonctionnent encore, malgré les multiples avertissements adressés aux consommateurs, les messages qu'ils reçoivent de la part de leur banque sur les médias sociaux tendent à inspirer confiance et il est aisé de prédire le succès d'une demande de connexion sur un faux site pour récupérer les identifiants des clients. Et les conseils de prudence ne suffiront certainement pas à limiter les dégâts possibles.
L'incident dont la Bank of Melbourne a été victime est donc une occasion d'éveiller, si nécessaire, une prise de conscience par les entreprises "sensibles" (les services financiers mais aussi la presse, entre autres) des dangers "directs" des médias sociaux. Et il conviendra ensuite de s'assurer de la mise en œuvre de protections indispensables : choix de mots de passe robustes, déconnexion systématique en fin de session, outils de surveillance des comptes gérés dans l'organisation...
Ces mesures ne doivent pas faire oublier les autres risques encourus tels que, par exemple, l'usurpation d'identité. Il est tellement facile de créer un compte Twitter sous le nom d'une grande entreprise que les possibilités de détournement ne s'arrêtent pas au "simple" piratage. Une veille permanente et rigoureuse sera indispensable pour faire face à cette menace.
Les médias sociaux ne sont d'ailleurs pas les seuls vecteurs de ce type d'attaque : on pensera aussi aux applications mobiles, voire à de nouveaux services sur Internet (solutions de paiement en ligne, outils de PFM...), dont la multiplication à l'infini met à rude épreuve les capacités de discernement des consommateurs.
La vie des internautes est décidément bien compliquée et c'est aussi le rôle des banques de les aider à se protéger, en commençant par éviter de faciliter les mises en danger inutiles !