La première étape pour mener des efforts de propagande en ligne et des campagnes de désinformation est presque toujours un faux profil sur les médias sociaux. Les faux profils de personnes inexistantes se faufilent dans les réseaux sociaux de personnes réelles, où ils peuvent diffuser leurs faussetés. Mais ni les entreprises de médias sociaux ni les innovations technologiques n’offrent de moyens fiables d’identifier et de supprimer les profils de médias sociaux qui ne représentent pas de vraies personnes authentiques.

Il peut sembler positif que sur six mois, fin 2017 et début 2018, Facebook ait détecté et suspendu quelque 1,3 milliard de faux comptes. Mais on estime que 3 à 4 % des comptes qui subsistent, soit environ 66 à 88 millions de profils, sont également faux mais n’ont pas encore été détectés. De même, on estime que 9 à 15 pour cent des 336 millions de comptes de Twitter sont faux.

Les faux profils ne sont pas seulement sur Facebook et Twitter, et ils ne ciblent pas seulement les personnes aux États-Unis. En décembre 2017, les responsables du renseignement allemand ont averti que des agents chinois utilisant de faux profils LinkedIn ciblaient plus de 10 000 employés du gouvernement allemand. Et à la mi-août, l’armée israélienne a signalé que le Hamas utilisait de faux profils sur Facebook, Instagram et WhatsApp pour inciter les soldats israéliens à télécharger des logiciels malveillants.

Bien que les entreprises de médias sociaux aient commencé à embaucher davantage de personnes et à utiliser l’intelligence artificielle pour détecter les faux profils, cela ne suffira pas à examiner chaque profil à temps pour mettre fin à leur utilisation abusive. Comme l’explorent mes recherches, le problème n’est pas réellement que les gens – et les algorithmes – créent de faux profils en ligne. Ce qui est vraiment problématique, c’est que d’autres personnes tombent dans le panneau.

Mes recherches sur les raisons pour lesquelles tant d’utilisateurs ont du mal à repérer les faux profils ont permis d’identifier certaines façons dont les gens pourraient s’améliorer pour identifier les comptes bidons – et mettent en évidence certains endroits où les entreprises technologiques pourraient aider.

Les gens se laissent prendre aux faux profils

Pour comprendre les processus de pensée des utilisateurs de médias sociaux, j’ai créé de faux profils sur Facebook et envoyé des demandes d’amis à 141 étudiants d’une grande université. Chacun des faux profils variait d’une manière ou d’une autre – par exemple en ayant beaucoup ou peu de faux amis, ou en ayant une photo de profil. L’idée était de déterminer si l’un ou l’autre type de profil réussissait le mieux à être accepté comme connexion par les vrais utilisateurs – puis de sonder les personnes trompées pour savoir comment cela s’est produit.

J’ai constaté que seulement 30 % des personnes ciblées ont rejeté la demande d’une fausse personne. Lorsqu’ils ont été interrogés deux semaines plus tard, 52 % des utilisateurs envisageaient toujours d’approuver la demande. Près d’un sur cinq – 18 pour cent – avait accepté la demande tout de suite. Parmi ceux qui l’ont acceptée, 15 % ont répondu aux demandes du faux profil en fournissant des informations personnelles telles que leur adresse personnelle, leur numéro d’étudiant et leur disponibilité pour un stage à temps partiel. Un autre 40 pour cent d’entre eux envisageaient de révéler des données privées.

Mais pourquoi?

Lorsque j’ai interrogé les vraies personnes que mes faux profils avaient ciblées, la chose la plus importante que j’ai constatée est que les utilisateurs croient fondamentalement qu’il y a une personne derrière chaque profil. Les gens m’ont dit qu’ils avaient pensé que le profil appartenait à quelqu’un qu’ils connaissaient, ou éventuellement à quelqu’un qu’un ami connaissait. Aucune personne n’a jamais soupçonné que le profil était une fabrication complète, créée expressément pour les tromper. Le fait de penser à tort que chaque demande d’ami provient d’une personne réelle peut inciter les gens à accepter les demandes d’amis simplement par politesse et pour ne pas blesser quelqu’un d’autre – même s’ils ne sont pas sûrs de connaître la personne.

En outre, presque tous les utilisateurs de médias sociaux décident d’accepter ou non une connexion en fonction de quelques éléments clés du profil du demandeur – principalement le nombre d’amis de la personne et le nombre de connexions mutuelles. J’ai constaté que les personnes qui ont déjà de nombreuses connexions sont encore moins perspicaces et approuvent presque toutes les demandes qui leur parviennent. Ainsi, même un tout nouveau profil fait des victimes. Et avec chaque nouvelle connexion, le faux profil semble plus réaliste, et a plus d’amis communs avec les autres. Cette cascade de victimes est la façon dont les faux profils acquièrent une légitimité et se répandent.

La propagation peut être rapide car la plupart des sites de médias sociaux sont conçus pour que les utilisateurs reviennent, vérifient habituellement les notifications et répondent immédiatement aux demandes de connexion. Cette tendance est encore plus prononcée sur les smartphones – ce qui pourrait expliquer pourquoi les utilisateurs accédant aux médias sociaux sur des smartphones sont nettement plus susceptibles d’accepter des demandes de faux profils que les utilisateurs d’ordinateurs de bureau ou portables.

Illusions de sécurité

Et les utilisateurs peuvent se croire plus en sécurité qu’ils ne le sont en réalité, en supposant à tort que les paramètres de confidentialité d’une plateforme les protégeront des faux profils. Par exemple, de nombreux utilisateurs m’ont dit qu’ils pensaient que les contrôles de Facebook pour accorder un accès différent aux amis par rapport aux autres les protègent également des faussaires. De même, de nombreux utilisateurs de LinkedIn m’ont également dit qu’ils pensaient que, comme ils ne publient que des informations professionnelles, les conséquences potentielles de l’acceptation de connexions malhonnêtes sur ce réseau sont limitées.

Mais c’est une hypothèse erronée : Les pirates peuvent utiliser n’importe quelle information glanée sur n’importe quelle plateforme. Par exemple, le simple fait de savoir sur LinkedIn qu’une personne travaille dans une certaine entreprise les aide à élaborer des courriels destinés à cette personne ou à d’autres personnes de l’entreprise. En outre, les utilisateurs qui acceptent imprudemment des demandes en supposant que leurs contrôles de confidentialité les protègent mettent en péril d’autres connexions qui n’ont pas réglé leurs contrôles aussi haut.

Recherche de solutions

Utiliser les médias sociaux en toute sécurité signifie apprendre à repérer les faux profils et à utiliser correctement les paramètres de confidentialité. Il existe de nombreuses sources de conseils en ligne – y compris les pages d’aide des plateformes elles-mêmes. Mais trop souvent, c’est aux utilisateurs de s’informer, généralement après avoir déjà été victimes d’une arnaque sur les médias sociaux – qui commence toujours par l’acceptation d’une fausse demande.

Les adultes devraient apprendre – et apprendre aux enfants – à examiner attentivement les demandes de connexion afin de protéger leurs appareils, leurs profils et leurs messages des regards indiscrets, et eux-mêmes des manipulations malveillantes. Ils doivent notamment examiner les demandes de connexion pendant les périodes de la journée où ils ne sont pas distraits et utiliser un ordinateur plutôt qu’un smartphone pour vérifier les connexions potentielles. Cela implique également d’identifier lesquels de leurs amis réels ont tendance à accepter presque toutes les demandes d’amis de n’importe qui, ce qui en fait des maillons faibles du réseau social.

Ce sont des endroits où les entreprises de plateformes de médias sociaux peuvent aider. Elles créent déjà des mécanismes pour suivre l’utilisation des applications et pour mettre en pause les notifications, aidant les gens à éviter d’être inondés ou de devoir réagir constamment. C’est un bon début – mais elles pourraient faire plus.

Par exemple, les sites de médias sociaux pourraient montrer aux utilisateurs des indicateurs sur le nombre de leurs connexions qui sont inactives pendant de longues périodes, aidant les gens à purger leurs réseaux d’amis de temps en temps. Ils pourraient également montrer quelles connexions ont soudainement acquis un grand nombre d’amis, et lesquelles acceptent des pourcentages inhabituellement élevés de demandes d’amis.

Les entreprises de médias sociaux doivent faire plus pour aider les utilisateurs à identifier et à signaler les profils potentiellement faux, en augmentant leur propre personnel et leurs efforts automatisés. Les sites de médias sociaux doivent également communiquer entre eux. De nombreux faux profils sont réutilisés sur différents réseaux sociaux. Mais si Facebook bloque un faussaire, Twitter peut ne pas le faire. Lorsqu’un site bloque un profil, il doit envoyer des informations clés – telles que le nom et l’adresse électronique du profil – aux autres plateformes afin qu’elles puissent enquêter et éventuellement bloquer la fraude là aussi.