Microsoft a annoncé sur son blog le lancement d’une nouvelle méthode de vérification pour LinkedIn : « Nous sommes ravis d’annoncer que des millions de membres de LinkedIn pourront vérifier leur lieu de travail à l’aide d’un identifiant Microsoft Entra Verified ID. En recherchant simplement une vérification, les membres et les organisations peuvent être plus sûrs que les personnes avec lesquelles ils collaborent sont authentiques et que les connections professionnelles sur leurs profils sont exactes.”
Votre contact LinkedIn travaille-t-il là où il prétend ?
En quelques minutes seulement, les organisations peuvent utiliser Verified ID pour créer des identifiants numériques d'employés personnalisés qui reflètent leur marque et leurs besoins professionnels. Sur LinkedIn, les membres verront une option pour vérifier leur lieu de travail sur leur profil. En quelques clics sur leur téléphone, les membres peuvent obtenir leur identifiant numérique d'employé auprès de leur organisation et choisir de le partager sur LinkedIn. Après avoir envoyé le justificatif, une vérification du lieu de travail sera affichée sur leur profil.
Verified ID s'appuie sur des normes ouvertes pour l'identité décentralisée, qui fonctionne selon un modèle de "triangle de confiance" impliquant trois parties : un émetteur, un détenteur et un vérificateur. Par exemple, une organisation peut agir en tant qu'émetteur en signant cryptographiquement un titre numérique et en le délivrant à un employé sous la forme d'une carte d'identité numérique. En tant que détenteur de la carte, l'employé peut décider de la partager sur des applications et des sites web, tels que LinkedIn. Le vérificateur peut alors authentifier par cryptographie que l'identifiant numérique de l'employé est authentique et qu'il a été délivré par le lieu de travail déclaré par l'employé. Cette approche représente un moyen plus sûr, plus pratique et plus fiable de vérifier les informations numériques à grande échelle.
J'ajouterais juste une phrase : LinkedIn est utilisé comme vecteur d'hameçonnage capable d'attirer plus facilement qu'avec des courriels d'hameçonnage traditionnels. Nous avons constaté que la plateforme a été utilisée à mauvais escient par plusieurs acteurs malveillants de premier plan dans leurs campagnes de phishing et de cyberespionnage, notamment par le groupe nord-coréen Lazarus. L’ajout d'une photo, d'un parcours et de quelques connexions partagées peut très facilement être utilisé pour manipuler une cible. Jusqu'à présent, il n'existait pas d'équivalent numérique à la carte d'identité physique, ce qui a malheureusement fait le jeu des cybercriminels.
L'interaction numérique contribue souvent à l'art de la manipulation aux mains d'acteurs sophistiqués. Ce nouvel outil de vérification réduira sans aucun doute la menace actuelle et renforcera la confiance des utilisateurs. Comme pour tous les nouveaux outils destinés à limiter les escroqueries, les mauvais acteurs tenteront inévitablement de le contourner. La vérification des éléments d'identité et d'emploi ne peut à elle seule stopper complètement les attaquants qui tentent de créer des identités fictives et de fausses entreprises pour "vérifier" de faux emplois. Cependant, l'acceptation générale de la vérification des emplois sur LinkedIn rendrait plus difficile pour les acteurs malveillants d'usurper l'identité de comptes légitimes et de construire de fausses personnalités convaincantes.