Les musées veulent aller là où se trouve leur public. Et c’est aussi le cas sur Instagram. Pour de nombreux établissements, la plate-forme de médias sociaux est donc un canal de communication important – mais aussi un point faible en matière de sécurité. Ces dernières semaines, les comptes Instagram de plusieurs institutions ont été piratés, notamment dans la région de Souabe.
Portrait du Dr Hu- go Koller (1918 ; Belvedere
Le compte Instagram du musée d'Ulm a été piraté : sur son site web, le musée d'Ulm appelle à signaler tout message concernant le compte directement à Instagram comme étant douteux ou nuisible. Photo : www.museumulm.de / Capture d'écran
"Les pirates voient seulement qu'un compte a beaucoup de followers"
Le Kunstmuseum Stuttgart a lancé un avertissement début février de cette année : son compte Instagram a apparemment été piraté par des criminels. Mais quel est l’objectif de ces derniers avec ce vol de données ? Au lieu de fournir des informations sur le musée, ils demandent de cliquer sur un numéro. C’est pourquoi le musée a mis en garde sur sa page d’accueil et sur les canaux des médias sociaux : “Veuillez ne pas cliquer sur le numéro Whatsapp indiqué”. “Nous n’avons aucune influence sur ce qui se passe lorsque l’on contacte ce numéro”, explique Isabel Kucher, porte-parole du musée. Elle a été la première à constater que le compte avait été piraté et que le musée n’avait désormais plus aucune influence sur ce qui y était publié.
“Nous avons heureusement pu mettre en place nous-mêmes le message d’avertissement”, rapporte Isabel Kucher. L’Office national de police criminelle s’est occupé de l’affaire. Depuis samedi dernier, le compte a été réactivé. “Nous avons reçu un message de Facebook nous indiquant que nous pouvions reprendre le compte, puis nous avons introduit l’authentification à deux facteurs”. Le musée d’art a également pris contact avec Meta, l’opérateur de Facebook et Instagram. Kucher a une hypothèse sur la raison pour laquelle les hackers se sont justement intéressés au Kunstmuseum, qui n’est pas une entreprise mais une institution éducative et culturelle : “Les hackers ne voient justement que le fait qu’un compte a beaucoup de followers”.
Les dangers des cyber-attaques
Les musées sont des lieux d’images et de communication – il n’est donc guère surprenant que la plupart des institutions artistiques soient désormais présentes sur la plateforme de photos Instagram et y atteignent un public qui ne fait pas forcément partie des habitués des musées. Mais cette présence en ligne comporte aussi des risques de cyber-attaques, comme viennent de le découvrir plusieurs musées dont les comptes Instagram ont été piratés. Stuttgart n’est apparemment pas un cas isolé, puisque le Kunstmuseum Ulm et le Schauwerk Sindelfingen ont également subi le même sort.
La prise de contrôle des comptes
Les musées concernés avaient un nombre de followers à quatre chiffres, ce qui est toutefois encore assez modeste selon les normes des influenceurs. Néanmoins, un musée d’art perd d’importants canaux de communication et des années de travail si un compte ne peut pas être rétabli. La reprise des comptes est apparemment liée à un message privé qui proviendrait d’Instagram et qui confirmerait la vérification du compte. Comme sur Facebook et Twitter, il est possible de “prouver” l’authenticité d’un profil sur la plate-forme en tant que personne publique ou institution en cochant une case bleue.
Attention aux liens de phishing
Selon le Kunstmuseum Stuttgart et le Schauwerk Sindelfingen, les musées avaient effectivement demandé un tel crochet auparavant. Toutefois, le lien indiqué dans le message était apparemment un lien dit d’hameçonnage, dont le clic a permis aux pirates d’accéder au profil. Des messages contenant des liens suspects ont également été envoyés à des followers depuis les comptes des institutions concernées. Les établissements mettent en garde contre l’ouverture de ces messages. Ainsi, le musée d’Ulm appelle sur son site Internet à signaler tout message concernant son compte directement à Instagram comme étant suspect ou nuisible. Le Hamburger Kunstverein, dont le profil a également été piraté, a également perdu le contact avec ses 20.000 abonnés début février.
Les vols de profils sont très répandus
Les vols de profils s’inscrivent dans des modèles d’hameçonnage connus, largement répandus dans le contexte de la cybercriminalité. Pour envoyer les messages d’hameçonnage, les auteurs utilisent de préférence la fonction de chat intégrée dans les apps/applications concernées. Par exemple, pour Instagram ‘Private Message’ ou pour Facebook ‘Facebook-Messenger’. Mais les messages d’hameçonnage sont également envoyés par e-mail ou via d’autres services de messagerie comme Whatsapp.
Hors de portée des responsables
Souvent, les demandes d’authentification des exploitants de plateformes sont imitées afin de demander aux personnes concernées de ‘vérifier’ leurs données et de les rediriger ainsi vers des pages de phishing. Le profil Instagram du centre photographique berlinois C/O (environ 94.000 followers) a également été piraté au début de l’année et est resté hors de portée des responsables pendant environ une semaine. “Une situation désagréable, car on ne sait pas si des contenus avec lesquels nous n’avons rien à voir ne sont pas diffusés par le compte”, explique Magnus Pölcher, directeur du service de communication du C/O Berlin. “Cela peut être très préjudiciable à la réputation d’une institution”.
Le public est aussi sur Instagram
Pour le centre d’exposition, l’histoire s’est toutefois terminée sans gravité. L’équipe a fait appel à un avocat spécialisé dans les médias et s’est efforcée avec persévérance d’entrer en contact avec Instagram ou Meta. Finalement, les demandes ont abouti et le groupe a rétabli le compte et tous les followers. Depuis le Corona Lockdown et le transfert croissant des contenus des musées sur Internet, on discute de plus en plus du problème que les institutions publiques deviennent elles aussi dépendantes, par leurs activités numériques, d’entreprises privées comme Youtube, Meta ou TikTok, qui sont difficilement joignables en cas de dommage. Mais les suggestions visant à mieux protéger les plates-formes muséales en régie propre n’ont pas encore été mises en œuvre à grande échelle. En outre, renoncer à Instagram serait sans doute difficile pour de nombreux acteurs. Car les musées veulent de plus en plus aller là où se trouve leur public. Et celui-ci se trouve en grande partie sur Instagram.