La première étape dans la conduite d'efforts de propagande en ligne et de campagnes de désinformation est presque toujours un faux profil sur les réseaux sociaux. De faux profils de personnes inexistantes se frayent un chemin dans les réseaux sociaux de vraies personnes, où ils peuvent répandre leurs mensonges. Mais ni les sociétés de médias sociaux ni les innovations technologiques n'offrent de moyens fiables d'identifier et de supprimer des profils de médias sociaux qui ne représentent pas des personnes authentiques.

Il peut sembler positif que sur six mois à la fin de 2017 et au début de 2018, Facebook a détecté et suspendu quelque 1,3 milliard de faux comptes. Mais on estime que 3 à 4 pour cent des comptes qui restent, soit environ 66 millions à 88 millions de profils, sont également faux mais n'ont pas encore été détectés. De même, les estimations sont que 9 à 15 pour cent des 336 millions de comptes Twitter sont faux.

Les faux profils ne sont pas seulement sur Facebook et Twitter, et ils ne ciblent pas seulement les gens aux États-Unis. En décembre 2017, Les responsables du renseignement allemand ont averti que les agents chinois utilisant de faux profils LinkedIn ciblaient plus de 10, 000 employés du gouvernement allemand. Et à la mi-août, l'armée israélienne a signalé que le Hamas utilisait de faux profils sur Facebook, Instagram et WhatsApp pour piéger les soldats israéliens dans le téléchargement de logiciels malveillants.

Bien que les sociétés de médias sociaux aient commencé à embaucher plus de personnes et à utiliser l'intelligence artificielle pour détecter les faux profils, cela ne suffira pas à revoir chaque profil à temps pour arrêter leur utilisation abusive. Au fur et à mesure de mes recherches, le problème n'est pas en fait que les gens – et les algorithmes – créent de faux profils en ligne. Ce qui ne va vraiment pas, c'est que les autres tombent amoureux d'eux.

Ma recherche sur les raisons pour lesquelles tant d'utilisateurs ont du mal à repérer les faux profils a permis d'identifier certaines façons dont les gens pourraient mieux identifier les faux comptes - et met en évidence certains endroits où les entreprises technologiques pourraient aider.

Les gens craquent pour les faux profils

Pour comprendre les processus de pensée des utilisateurs de médias sociaux, J'ai créé de faux profils sur Facebook et envoyé des demandes d'amis à 141 étudiants d'une grande université. Chacun des faux profils variait d'une manière ou d'une autre - comme avoir beaucoup ou peu de faux amis, ou s'il y avait une photo de profil. L'idée était de déterminer si l'un ou l'autre type de profil réussissait le mieux à être accepté en tant que connexion par de vrais utilisateurs, puis à sonder les personnes trompées pour savoir comment cela s'était passé.

J'ai découvert que seulement 30 % des personnes ciblées rejetaient la demande d'une fausse personne. Interrogé deux semaines plus tard, 52% des utilisateurs envisageaient toujours d'approuver la demande. Près d'un sur cinq – 18 % – avait accepté la demande immédiatement. De ceux qui l'ont accepté, 15 pour cent avaient répondu aux demandes de renseignements du faux profil avec des informations personnelles telles que leur adresse personnelle, son numéro d'identification étudiant, et leur disponibilité pour un stage à temps partiel. 40 % d'entre eux envisageaient de révéler des données privées.

Mais pourquoi?

Quand j'ai interviewé les vraies personnes que mes faux profils avaient ciblées, la chose la plus importante que j'ai trouvée est que les utilisateurs croient fondamentalement qu'il y a une personne derrière chaque profil. Les gens m'ont dit qu'ils pensaient que le profil appartenait à quelqu'un qu'ils connaissaient, ou peut-être quelqu'un qu'un ami connaissait. Personne n'a jamais soupçonné que le profil était une fabrication complète, expressément créé pour les tromper. Penser à tort que chaque demande d'ami vient d'une personne réelle peut amener les gens à accepter les demandes d'ami simplement pour être polis et ne pas blesser les sentiments de quelqu'un d'autre, même s'ils ne sont pas sûrs de connaître la personne.

En outre, presque tous les utilisateurs de médias sociaux décident d'accepter ou non une connexion en fonction de quelques éléments clés du profil du demandeur – principalement le nombre d'amis de la personne et le nombre de connexions mutuelles. J'ai trouvé que les gens qui ont déjà beaucoup de relations sont encore moins perspicaces, approuvant presque toutes les demandes reçues. Ainsi, même un tout nouveau profil fait des victimes. Et à chaque nouvelle connexion, le faux profil semble plus réaliste, et a plus d'amis communs avec les autres. Cette cascade de victimes est la façon dont les faux profils acquièrent une légitimité et se généralisent.

La propagation peut être rapide car la plupart des sites de médias sociaux sont conçus pour fidéliser les utilisateurs, vérifier habituellement les notifications et répondre immédiatement aux demandes de connexion. Cette tendance est encore plus prononcée sur les smartphones, ce qui peut expliquer pourquoi les utilisateurs accédant aux réseaux sociaux sur smartphones sont beaucoup plus susceptibles d'accepter de fausses demandes de profil que les utilisateurs d'ordinateurs de bureau ou portables.

Illusions de sécurité

Et les utilisateurs peuvent penser qu'ils sont plus en sécurité qu'ils ne le sont en réalité, en supposant à tort que les paramètres de confidentialité d'une plate-forme les protégeront des faux profils. Par exemple, de nombreux utilisateurs m'ont dit qu'ils pensaient que les contrôles de Facebook pour accorder un accès différent à des amis par rapport aux autres les protégeaient également des falsificateurs. De même, de nombreux utilisateurs de LinkedIn m'ont également dit qu'ils pensaient que parce qu'ils ne publient que des informations professionnelles, les conséquences potentielles de l'acceptation de connexions malveillantes sur celui-ci sont limitées.

Mais c'est une hypothèse erronée :les pirates peuvent utiliser n'importe quelle information glanée sur n'importe quelle plate-forme. Par exemple, le simple fait de savoir sur LinkedIn que quelqu'un travaille dans une entreprise l'aide à rédiger des e-mails à l'intention de cette personne ou d'autres personnes de l'entreprise. Par ailleurs, les utilisateurs qui acceptent négligemment les demandes en supposant que leurs contrôles de confidentialité les protègent mettent en péril les autres connexions qui n'ont pas défini leurs contrôles aussi élevés.

Recherche de solutions

Utiliser les médias sociaux en toute sécurité signifie apprendre à repérer les faux profils et à utiliser correctement les paramètres de confidentialité. Il existe de nombreuses sources de conseils en ligne, y compris les pages d'aide des plateformes. Mais trop souvent c'est aux utilisateurs de s'informer, généralement après avoir déjà été victimes d'une arnaque sur les réseaux sociaux, qui commence toujours par accepter une fausse demande.

Les adultes doivent apprendre – et enseigner aux enfants – comment examiner attentivement les demandes de connexion afin de protéger leurs appareils, profils et messages des regards indiscrets, et eux-mêmes d'être manipulés avec malveillance. Cela comprend l'examen des demandes de connexion pendant les périodes de la journée sans distraction et l'utilisation d'un ordinateur plutôt que d'un smartphone pour vérifier les connexions potentielles. Cela implique également d'identifier lesquels de leurs amis réels ont tendance à accepter presque toutes les demandes d'amis de quiconque, ce qui en fait des maillons faibles dans le réseau social.

Ce sont des endroits où les entreprises de plateformes de médias sociaux peuvent aider. Ils créent déjà des mécanismes pour suivre l'utilisation des applications et suspendre les notifications, aider les gens à éviter d'être inondés ou d'avoir à réagir constamment. C'est un bon début, mais ils pourraient faire plus.

Par exemple, les sites de médias sociaux pourraient montrer aux utilisateurs des indicateurs du nombre de leurs connexions inactives pendant de longues périodes, aider les gens à purger leurs réseaux d'amis de temps en temps. Ils pourraient également montrer quelles relations ont soudainement acquis un grand nombre d'amis, et lesquels acceptent des pourcentages anormalement élevés de demandes d'amis.

Les entreprises de médias sociaux doivent faire plus pour aider les utilisateurs à identifier et signaler les profils potentiellement faux, augmenter leur propre personnel et automatiser leurs efforts. Les sites de médias sociaux doivent également communiquer entre eux. De nombreux faux profils sont réutilisés sur différents réseaux sociaux. Mais si Facebook bloque un faussaire, Twitter ne peut pas. Lorsqu'un site bloque un profil, il doit envoyer des informations clés - telles que le nom et l'adresse e-mail du profil - à d'autres plateformes afin qu'elles puissent enquêter et potentiellement bloquer la fraude là aussi.

Cet article est republié à partir de The Conversation sous une licence Creative Commons. Lire l'article original.