Comment les journalistes et les vérificateurs de faits peuvent éviter d'être manipulés par des pirates informatiques, par Elizabeth Ogunbamowo

Selon Fact-check.ni, la propagation de la désinformation est intrinsèquement humaine. Dans leur rapport, Lewandowsky et al ont expliqué les raisons de l’acquisition et de la persistance de la désinformation. Une raison essentielle est que la simple répétition d’une affirmation fait penser qu’elle est vraie.

Une étude réalisée par Pew Research en 2017 a montré que la croissance continue d’Internet et l’accélération de l’innovation ont le potentiel de rendre le problème plus dangereux que par le passé, car ils contribuent à la propagation de récits manipulateurs.

De ce qui précède, le concept de vérification des faits a été rendu nécessaire par la nécessité de lutter contre le trouble de l’information encapsulé dans la désinformation/désinformation (fake news). Cela explique probablement pourquoi le New Yorker dans un article de 2020 a décrit les vérificateurs de faits comme les héros cachés du journalisme.

Les principaux organes de presse ont assumé la responsabilité d’affecter des journalistes et des vérificateurs des faits pour vérifier les allégations et les mensonges purs et simples des politiciens et des experts.

Mais dans leur quête pour lutter contre la désinformation, les vérificateurs de faits et les journalistes deviennent de plus en plus la cible des pirates et des développeurs de logiciels malveillants.

Une étude de la Clark School de l’Université du Maryland montre qu’un pirate informatique tente d’attaquer des ordinateurs vulnérables toutes les 30 secondes. Fait intéressant, plus de logiciels malveillants sont lancés que jamais et il a été estimé que les entreprises dépenseront plus de 1 000 milliards de dollars en cybersécurité entre 2017 et 2021.

En 2017, un reportage dans les médias a montré que des pirates informatiques russes avaient tenté d’accéder aux boîtes de réception d’au moins 200 journalistes dans le monde.

Natalia Gevorkyan, une chroniqueuse russe qui a examiné les données, a déclaré que les pirates s’en prenaient aux journalistes qui les dérangeaient.

Gevorkyan, qui est également l’auteur d’un livre sur le renseignement russe, a déclaré que la campagne de piratage semblait destinée à collecter des e-mails privés, « qu’ils peuvent utiliser comme levier pour plus tard ».

En outre, un site de vérification des faits politiques, Verrit a été piraté presque immédiatement après qu’Hillary Clinton a invité ses abonnés à s’inscrire sur le site.

Moins d’une heure après son tweet, une attaque par déni de service distribué (DDoS) a empêché le chargement du site.

De même, cekfakta.com, un autre site Web de vérification des faits en Indonésie a été piraté en 2019 deux jours après que le site eut organisé une session de vérification des faits très médiatisée au siège de Google en Indonésie parallèlement à un débat présidentiel.

Outils

Après avoir établi que les journalistes et les vérificateurs de faits sont des cibles probables, comment pouvez-vous éviter d’être manipulé par des pirates informatiques ?

Vous trouverez ci-dessous une compilation d’outils que les journalistes peuvent utiliser pour protéger leurs adresses e-mail des pirates informatiques et des solutions possibles pour ceux qui sont déjà pris dans des violations de messagerie.

En haut de la liste est-ce que j’ai été possédé ? un site Web développé par Troy Hunt, un directeur régional de Microsoft.

Il permet aux utilisateurs de vérifier si leurs adresses e-mail ont été compromises. Il identifie également si l’e-mail a été trouvé dans une violation de données – un incident au cours duquel des données ont été involontairement exposées au public.

Dans la même veine, le site Web informe les utilisateurs si des informations les concernant ont été « collées » sur un site Web public conçu pour partager du contenu.

Ces sites Web publics tels que «pastebin» seraient utilisés par des pirates informatiques en raison de la facilité de partager anonymement les informations d’autres personnes.

Un autre outil utile est mypwd.io. Le site Web, qui est similaire à haveibeenowned?, se décrit comme offrant un supplément en surveillant le Web profond et sombre. Il donne également des informations sur le mot de passe qui a été divulgué et contient environ neuf milliards d’éléments de données.

Le site Web comprend également des alertes par e-mail pour les abonnés chaque fois qu’une nouvelle fuite associée à l’adresse e-mail enregistrée est détectée. Ces notifications contiennent des instructions importantes : le mot de passe divulgué doit être modifié pour éviter les pertes financières et même le vol d’identité.

DeHashed est un autre outil pertinent à utiliser. Le site Web s’est décrit comme un moteur de recherche de base de données créé pour les analystes de sécurité, les journalistes, les sociétés de sécurité et les gens ordinaires pour aider à sécuriser leurs comptes et fournir des informations sur les violations de bases de données et les fuites de comptes. Il est censé aider à prévenir la compromission des comptes, car les utilisateurs peuvent surveiller l’activité des pirates en temps réel pour empêcher les attaques de prise de contrôle de compte à l’aide d’informations d’identification compromises.

Le site Web permet aux utilisateurs de rechercher des adresses IP, des e-mails, des noms d’utilisateur, des noms, des numéros de téléphone, des numéros VIN, des adresses ; permet également aux utilisateurs d’inverser les mots de passe de recherche, les hachages, etc. Pour accéder à ce site Web, les utilisateurs doivent d’abord s’inscrire.

BreachAlarm est un autre site Web qui permet aux utilisateurs de vérifier les violations. Il s’agit d’un service qui permet de vérifier de manière anonyme si son mot de passe a été publié en ligne et de recevoir des notifications par courrier électronique sur les futurs piratages de mots de passe.

Les services parcourent les profondeurs d’Internet pour trouver des listes de mots de passe volés qui ont été piratés, divulgués ou compromis, puis vont de l’avant pour repérer les adresses e-mail des utilisateurs auxquels ces mots de passe appartiennent. Les utilisateurs peuvent vérifier facilement si leur adresse e-mail et leur mot de passe ont été inclus dans l’une de ces violations.

Le site permet également de vérifier plusieurs sites de vérification de piratage juste pour s’en assurer.

ai-je été vendu ? Une autre bonne alternative aux sites Web mentionnés ci-dessus pour vérifier les fuites de courrier électronique.

Ai-je été vendu ? est un service gratuit qui permet aux utilisateurs de parcourir une base de données d’e-mails achetés et de voir si quelqu’un a vendu leurs coordonnées.

Solutions

Si vos données sont impliquées dans une violation de données, que faites-vous ? Il a été établi qu’un cybercriminel peut emprunter plusieurs chemins pour accéder aux informations personnelles, vendre les données et utiliser frauduleusement ces données.

Les criminels savent que de nombreuses personnes répètent les mots de passe à divers endroits. Pour cette raison, ils peuvent essayer de pénétrer dans différents sites Web et systèmes et voler des informations personnelles.

Il est conseillé aux vérificateurs des faits de remplacer les mots de passe par des mots de passe uniques, difficiles à deviner, qui sont probablement difficiles pour les pirates.

La liste des mots de passe à éviter, selon un rapport de Forbes, comprend : des informations personnelles, des mots de passe plus courts, des mots courants ou des combinaisons de chiffres simples. Le rapport déconseillait également de mettre à jour régulièrement les mots de passe.

Une étude a montré que la grande majorité des cyberattaques proviennent de pirates informatiques relativement peu sophistiqués utilisant des « scripts de dictionnaire », un type de logiciel qui parcourt des listes de noms d’utilisateur et de mots de passe courants pour tenter de s’introduire dans un ordinateur.

Les chercheurs ont découvert que le stratagème de devinette de mot de passe le plus courant consistait à saisir à nouveau ou à essayer des variantes du nom d’utilisateur.

Les vérificateurs des faits doivent garantir l’utilisation d’une authentification à deux facteurs, car cela empêchera un pirate de se connecter à son compte même si le mot de passe est connu.

De même, pour BreachAlarm, les vérificateurs de faits peuvent accéder au service de surveillance des e-mails du service qui les avertit immédiatement que leurs adresses e-mail apparaissent dans une violation de mot de passe.

Avec les outils ci-dessus, vous pouvez opérer en toute sécurité en tant que journaliste et vérificateur des faits sans être manipulé par des pirates.

Le chercheur a produit cet article sur l’éducation aux médias dans le cadre du partenariat Dubawa 2021 Kwame Kari Kari Fellowship avec SaharaReporters pour faciliter l’éthique de la «vérité» dans le journalisme et améliorer l’éducation aux médias dans le pays.