Druydes, entreprise de cosmétique côte d’orienne, victime d’un pirate informatique

Une entreprise spécialisée dans la cosmétique solide zéro déchet, Druydes, victime d’un piratage sur Instagram. Résultats : plus de 15000 followers perdus et de lourdes conséquences économiques.

Cela peut arriver à n’importe qui ou à n’importe quelle entreprise (compte certifié ou non) : un pirate peut s’emparer de votre compte Instagram et vous demander une rançon pour le récupérer. C’est ce qui est arrivé au compte Instagram de l’entreprise Druydes, basée à à Dijon, il y a un peu moins d’une semaine.

« Tout a commencé par un message privé de la part d’un compte qui avait l’apparence d’un compte officiel » explique Fanny Preney, la co-dirigeante de Druydes. « Ce compte me semblait officiel, je n’ai pas vraiment fait attention à qui me parlait réellement. De plus, j’avais amorcé les démarches pour obtenir une certification pour mon compte auprès d’Instagram, donc j’ai cru que c’était le processus pour obtenir le fameux badge bleu« . Fanny Preney continue : « Le message était clair, on m’a demandé de cliquer sur un lien, de m’identifier et de prouver que je suis bien la détentrice du compte. Sans trop réfléchir, j’ai donc rempli le formulaire : nom, prénom, adresse email, identifiant Instagram et mot de passe« . Et c’est à ce moment là que le piège se referme.

« Quand je me suis rendu compte que j’avais perdu accès à mon compte, il était déjà trop tard ! »

Tout est fait pour gagner la confiance de l’internaute : page web aux couleurs officielles d’Instagram, logo, texte en anglais, adresse du site internet, même police d’écriture (ou presque)… tout y est pour ne pas éveiller les soupçons. « Je n’y ai vu que du feu, j’avais vraiment l’impression que j’étais sur le site officiel du réseau social !« . Une fois que Fanny Preney a rempli le formulaire, un message l’informait que le processus de confirmation d’identité était à présent terminé. Ce message était un faux.

En réalité, Fanny se trouvait sur un site internet appartenant à un pirate spécialisé dans la capture de comptes Instagram.

Seulement, sans le savoir, la co-dirigeante de Druydes avait communiqué son identifiant et son mot de passe à un pirate. Celui-ci n’avait qu’à se connecter à son tour, changer l’adresse email de connexion ainsi que le mot de passe pour empêcher les employés de Druydes toute tentative de récupération. Quelques minutes plus tard, Chloé Aurières, la responsable de marketing digital ne pouvait plus se connecter au compte : « C’est alors que j’ai reçu un email de ce fameux pirate, me demandant une rançon. Si j’acceptais de payer 350 euros, le pirate me rendait les clés du compte » ajoute Fanny Preney. Payer une telle somme était peut-être abordable mais la garantie de récupérer le compte infime. Il fallait se rendre à l’évidence : le compte Instagram était perdu.

Impossible de demander un nouveau mot de passe, aucun moyen de recours : Fanny Preney a pris la décision d’ouvrir un nouveau compte.

« Tout est à refaire, tout est à reconstruire ! » confie la présidente de Druydes. « De plus, cela met un coup de frein énorme à notre élan : nous devions sortir de nouveaux produits cette semaine et en faire la promotion sur les réseaux sociaux. Comment en faire l’écho avec un nouveau compte qui ne compte qu’une centaine de followers ? ». C’est alors que toute l’équipe de Druydes se remonte les manches et demande à ses clients de s’abonner au nouveau compte.

Fanny et Chloé ont pu observer un élan de solidarité à travers toute la France et l’Europe : d’anciens clients ont fait la démarche de s’abonner au nouveau compte et ont pris la parole pour inciter leurs amis à s’y abonner à leur tour. « Beaucoup d’influenceurs nous ont aussi aidé… et même des concurrents du secteur ! c’est vraiment touchant et très fair-play de leur part » ajoute Fanny.

« En aucun cas Instagram ou Facebook ne vous demandera votre mot de passe ! Jamais, jamais, jamais »

Jonathan Noble est le co-fondateur de Swello, une plateforme qui aide les communicants à gérer leurs réseaux sociaux. Jonathan Noble explique : « L’histoire qu’a vécu Fanny n’est pas du tout un cas isolé, cela fait déjà plusieurs mois que des pirates utilisent ce procédé. C’est assez malin parce que ils ont réussi à pirater des comptes qui sont certifiés, ils changent le pseudo, changent les images et ils ont toujours le petit badge bleu ! Forcément, quand des personnes reçoivent un message privé d’un compte vérifié, ils ne se doutent encore moins que c’est une arnaque.« 

Les comptes Instagram ciblés sont ceux qui comptent des milliers de followers. Les personnes lambda peuvent être inquiétées. Jonathan Noble ajoute : « Je pense qu’il peut avoir plein de raisons pour mettre au point une telle arnaque : ça peut être effectivement avec une demande de paiement de rançons pour gagner de l’argent assez facilement, ça peut être pour embêter tout simplement, ça peut avoir des objectifs politiques aussi on ne sait pas... »

Quelques conseils de pro, par Jonathan Noble de Swello, pour éviter les mauvaises surprises

Le co-fondateur de Swello livre quelques conseils : « La première chose, c’est de garder son mot de passe privé. Un mot de passe, c’est à soi mais si c’est dans le cadre d’une entreprise, je vous conseille d’utiliser un logiciel qui va vous permettre de partager les mots de passe en toute sécurité : il y en a plein sur le marché je peux citer Dashlane ou 1Password. Ça permet vraiment d’avoir des mots de passe à un seul endroit et de gérer qui à l’accès de tel ou tel mot de passe. Il faut aussi avoir aussi un mot de passe compliqué, long. Autre information importante : une entité importante comme Instagram ou Facebook ne vous demandera jamais votre mot de passe : jamais, jamais, jamais ! On ne vous demandera jamais de l’envoyer par message privé, par mail ou autre. »

Jonathan Noble continue : « Autre élément qui peut être très important : c’est la double authentification. C’est une demande réalisé par SMS ou par mail supplémentaire lorsque vous souhaitez vous connecter à votre compte. Vous devez à la fois connaître le mot de passe et en plus avoir accès au téléphone ou à l’adresse e-mail relié au compte. La double authentification limite au maximum les problèmes de ce type ».

Conseils précis à écouter :

 

De la part de toute l’équipe de J’Aime Dijon, nous souhaitons bon courage à Fanny et Chloé (qui a vu perdre des mois de travail en une fraction de seconde). Nous comprenons la détresse de toute l’équipe de Druydes. Nous demandons donc à tous les lecteurs de J’Aime Dijon de liker le nouveau compte Instragram de Druydes : @Druydes.France
Merci aussi à Jonathan Noble, le co-fondateur de Swello, plateforme qui aide les communicants à gérer leurs réseaux sociaux.