Protéger contre les arnaques sur Discord
LProgead • Publié le 28 March 2022
TraductionsVous êtes sur le point de cliquer sur un lien pour rejoindre ce serveur et attraper ce bonbon. Mais vous vous rendez compte qu’il y a quelque chose d’anormal. Ce lien semble bon mais quelque chose est... bizarre. Vous voyez que leur manière de parler ne semble pas humaine. Ils prétendent que vous avez fait des choses que vous n’avez jamais faites. Ils semblent très pressés et vous avertissent que vous devez vite cliquer sur ce lien, sinon vous perdrez tout. Il n’ont jamais envoyé de message sur aucun des serveurs que vous avez en commun, ou vous n’avez simplement pas de serveur en commun. Pourtant, ils veulent vous parler à VOUS.
Vous avez certainement entendu parler des arnaques qui touchent Discord récemment. Ou peut-être que l’un d’eux vous a touchés. Vous n’êtes pas seuls et cela ne touche pas simplement Discord - la FTC a annoncé une vague d’arnaques en ligne en 2021. Notre mission a toujours été de faire de Discord le meilleur endroit sur internet pour permettre aux utilisateurs de trouver la communauté qui leur correspond et nous sommes émerveillés de voir les différents centres d’intérêts que nous avons apportés ensemble sur Discord, le tout des sessions d’études aux drops de NFT, en passant des communautés sur les serres. Mais nous avons aussi certains membres qui essaient d’exploiter ces communautés.
C’est pourquoi nous souhaitons vous partager les mesures additionnelles que nous sommes en train d’appliquer de notre côté et évoquer les moyens futurs de vous protéger sur Discord. Vous connaissez certainement ces techniques, mais un rappel est toujours bon.
Ce n’est en aucun cas une liste exhaustive. C’est une malheureuse réalité que les personnes mettant au jour ces arnaques vont changer tout en faisant évoluer leurs techniques. Nous vous encourageons à toujours utiliser vos connaissances concernant la sécurité en ligne et à utiliser les bonnes pratiques que vous verrez dans cet article, si vous ne le faites pas encore.
Même si nous espérons que vous prendrez le temps de lire cet article pour découvrir les détails de ces pratiques, nos avons aussi souhaité vous proposer un résumé et quelques notes à garder avec vous :
Pour tout le monde :
- Ne cliquez pas sur les liens envoyés par des inconnus ou qui semblent suspects.
- Ne téléchargez pas de programme ou ne copiez-collez pas du code que vous ne connaissez pas.
- Ne donnez votre mot de passe à personne !
- Ne partagez pas votre token d’authentification. Vraiment. Ne le faites pas.
- Ne scannez aucun QR code de personne que vous ne connaissez pas ou dont vous ne pouvez pas vérifier la légitimité.
- Activez l’authentification à deux facteurs pour garder votre compte aussi sûr que possible.
- Envisagez de restreindre qui peut vous contacter en messages privés.
Pour les propriétaires de serveurs et les modérateurs :
- Vérifiez les permissions de votre serveur, surtout pour les outils de haut niveau tels que les webhooks.
- Gardez vos invitations officielles à jour sur toutes vos plateformes lorsque vous les changez.
- Encore, ne cliquez sur aucun lien suspect ou inconnu ! Si votre compte est compromis, cela pourrait avoir un effet sur les communautés que vous modérez.
Nous sommes toujours en train de travailler à faire de Discord un endroit sûr, mais nous avons aussi besoin de votre aide ! Voici deux checklists pour vérifier la sécurité de votre compte ainsi qu’un autre article qui liste les arnaques les plus communes pour aiguiser vos défenses - aidez-nous à faire en sorte que tout le monde connaisse ces bonnes pratiques.
Checklist de sécurité sur internet
Cette liste ne se veut pas exhaustive. Vous y trouverez quelques moyens sûrs mais efficaces pour vous protéger contre les arnaques dans vos messages privés et même en dehors de Discord.
Ouvrez uniquement les liens des personnes que vous connaissez
Cela peut sembler couler de source, mais un nombre incroyable de problèmes de sécurité découlent de quelqu’un qui a cliqué sur un lien avant de vérifier s’il s’agissait d’un vrai. Vérifiez toujours par deux fois les liens sur lesquels vous cliquez - les services de raccourcissement de liens peuvent facilement cacher des sites ou des programmes malveillants. Nous vous recommandons de les vérifier grâce à des outils tels que VirusTotal pour vous assurez que personne ne les a signalés comme potentiellement dangereux.
En plus de cela, Discord a son propre système pour éradiquer les liens malicieux.
Ne téléchargez pas de programme ou n’exécutez pas du code que vous ne connaissez pas
Il est fortement déconseillé de télécharger des programmes ou d’exécuter du code qui ne provient pas d’une source fiable. Exécuter le programme ou le code que quelqu’un vous envoie spontanément n’est jamais une très bonne idée.
Si une personne vous promet l’accès à des “nouvelles fonctionnalités spéciales” ou vous envoie un logiciel qu’elle veut que vous exécutiez sur votre ordinateur, cela peut conduire à une fuite de vos données personnelles. Si cela semble trop beau pour être vrai, ça l’est probablement.
Ne donnez jamais votre mot de passe à personne
Il n’y a aucune raison de le faire, jamais. Partager votre mot de passe ne donne pas seulement accès à votre compte mais expose aussi toutes les informations personnelles qu’il contient - et potentiellement celles des autres sites où vous avez utilisé le même mot de passe. Cela peut rendre vulnérable plus d’un compte.
Checklist de sécurité sur Discord
Les conseils ci-dessus peuvent être appliqués partout sur internet ! Maintenant, nous allons vous partager quelques astuces spécifiques à Discord.
Décidez de qui peut vous contacter en messages privés
Désactiver les messages privés pour un certain serveur est l’un des meilleurs moyens d’empêcher les utilisateurs malicieux qui se cachent dans les grandes communautés de vous contacter.
Pour ajuster qui peut vous contacter en messages privés, rendez-vous dans vos Paramètres utilisateurs > Sécurité et descendez jusqu’à Server Privacy Defaults. Ici, vous trouverez une option Autoriser les messages privés des membres du serveur.
Ajustez cette option comme vous le souhaitez, mais notez que cela s’appliquera uniquement aux serveurs que vous rejoindrez plus tard.
Si vous l’activez, les membres des serveurs que vous rejoindrez ne pourront pas vous contacter avant d’être amis avec vous.
Si vous êtes dans un serveur en lequel vous avez confiance, vous pouvez activer les messages privés dans ce serveur individuellement. Cliquez sur le nom du serveur, ouvrez les Paramètres de sécurité et activez l’option Autoriser les messages privés des membres de ce serveur. Une fois cette option activée, vous pourrez recevoir des messages privés de tous les membres du serveur, peu importe que vous soyez amis ou non.
Si vous avez rejoint beaucoup de communautés, pensez à vérifier vos paramètres de sécurité sur chaque serveur individuellement.
Vérifiez les permissions de votre serveur
Comprendre à quelles permissions vos modérateurs et vos membres ont accès et une étape clé pour garder tout le monde en sécurité. Si vous êtes un propriétaire de serveur, avez-vous vérifié votre liste de permissions ? Qui a quelles permissions ? Saviez-vous qu’ils avaient accès à ces fonctionnalités ?
Si la réponse à ces questions était un 🤷, il est temps de faire une revue de la configuration de votre serveur pour vous assurer que seules les permissions dont vos membres ont besoin ont été données.
Spécifiquement, assurez-vous que seuls les modérateurs en qui vous avez confiance ont accès aux fonctionnalités sensibles du serveur : l’ajout de bots ou de webhooks. Restez vigilants à n’utiliser que des bots reconnus.
Dans la plupart des cas, un bot réputé ne nécessitera jamais les permissions d’administration pour fonctionner correctement. Donnez-lui seulement les permissions nécessaires aux tâches que vous voulez qu’il effectue, pas plus.
Si vous avez besoin d’aide pour comprendre comment fonctionne les permissions sur Discord, vous pouvez lire l’article sur notre centre d’aide ici. Si vous avez une compréhension basique du système de permissions et que vous voulez en savoir plus, nous avons, pour vous, cet article de la Discord Moderation Academy.
Gardez vos liens d’invitation à jour
Si vous changez les liens d’invitation de votre serveur, assurez-vous que votre communauté et les futurs membres en sont informés. Pour cela, mettez à jour chaque page et réseau social où se trouvaient vos anciennes invitations. Si possible, supprimez toutes les références aux anciens liens et faites savoir qu’ils ont été mis à jour.
Cette recommandation s’applique d’autant plus aux serveurs partenaires, vérifiés ou boostés au niveau 3 utilisant une URL personnalisée **: si votre serveur perd ou modifie son invitation personnalisée, des communautés malveillantes pourraient le récupérer. Si cela arrive avant que vous mettiez à jour vos invitations, les nouveaux membres voulant rejoindre votre serveur rejoindront celui du serveur malicieux à la place.
En plus de mettre à jour vos liens d’invitation, ajoutez à votre règlement des règles simples à suivre concernant le partage d’invitation, en encourageant vos membres à toujours vérifier où mènent réellement une invitation vers un serveur ainsi que son expéditeur avant de cliquer dessus.
Conseil de pro : essayez d’envoyer vos invitations dans un message Discord pour vérifier vers quel serveur elles mènent. (Bien sûr, ne partagez pas une invitation aléatoire dans #général.)
Pourquoi quelqu’un voudrait avoir accès à mon compte ?
Si quelqu’un obtient le contrôle de votre compte Discord, il aura autant accès à votre compte que vous : il sera en capacité de modifier votre nom d’utilisateur, votre mot de passe, l’adresse mél liée à votre compte ainsi que toutes les informations associées à celui-ci.
Même si la plupart recherchent des “informations personnelles” telles que celles de paiement ou celles de contact, ils auront aussi accès à vos conversations, vos messages envoyés, vos messages privés, etc.
Ils seront aussi les nouveaux propriétaires de vos serveurs : ils pourront y effectuer les changements qu’ils veulent : de l’interface du serveur aux permissions, des bots et des webhooks à l’expulsion des membres. Si vous êtes modérateur d’une communauté que le pirate vise, votre compte pourrait être utilisé comme un tremplin pour causer d’importants dégâts au serveur en question dans le futur ou encore utiliser votre nom pour arnaquer des membres de ce serveur.
Certains utilisateurs visent aussi des comptes Discord possédant des badges qui ne sont plus disponibles comme le Supporter de la Première Heure ou le Développeur de Bots Vérifié de la Première Heure. Si vous possédez l’un de ces badges uniques, vous devrez être d’autant plus vigilants.
Si votre compte se trouve piraté et que le pirate en change le mot de passe, il n’y a pas grand-chose que vous puissiez faire pour l’en empêcher. Cependant, si vous avez activé l’authentification à deux facteurs sur votre compte, le pirate aura besoin d’un TOTP pour modifier le mot de passe. Nous recommandons fortement d’activer l’A2F sur vos comptes.
Signaler ce qui est arrivé à Discord peut vous aider à reprendre la propriété de votre compte, ce qui peut être fait ici - laissez-nous vous aider!
Lecture additionnelle : arnaques communes
Nous avons écrit un article additionnel décrivant les types d’arnaques qui se produisent ces derniers temps sur Discord. Vous pouvez en prendre connaissance pour vous familiariser avec les signes qui montreraient que vous êtes en train de parler avec un pirate que vous devriez bloquer : Arnaques communes et ce qu’il faut surveiller.
Nous vous recommandons de partager cette ressource avec les grandes communautés qui pourraient tirer profit de ces connaissances.
Avec ces conseils dans votre poche, vous serez plus aptes à reconnaître toutes les potentielles menaces en ligne. Comme lorsque vous prenez soin de vous dans la vraie vie, prenez des mesures préventives pour vous garder à l’abri en ligne.