BLOG

LinkedIn : sécurisez votre profil en 12 étapes (guide)

by Xavier DegrauxPosted on
LinkedIn : sécurisez votre profil en 12 étapes (guide)

Mot de passe, authentification, paramètres, autorisations, récolte de données… Comment sécuriser votre profil LinkedIn ? Suivez le guide !

Trois questions pour commencer :

  • Avez-vous déjà visité les paramètres de sécurité de votre profil ?
  • Avez-vous déjà sécurisé votre accès à LinkedIn, par exemple pour respecter les règlementations en cours dans votre secteur d’activités (santé, banque…) ?
  • Avez-vous déjà pris le temps de réfléchir aux conséquences potentielles d’un piratage de votre compte, pour vous (scam, vol d’identité, harcèlement…), ou pour votre entreprise (fuite d’infos sensibles, envoi de messages en votre nom, accès admin à des pages ou des groupes…) ?

Si vous avez répondu par la négative à au moins l’une de ces trois questions, ce guide pour sécuriser votre compte LinkedIn, étape par étape, est fait pour vous !

1. Choisissez un mot de passe unique

Commencez par le plus simple : vérifiez si votre adresse e-mail apparaît dans une fuite de données via haveibeenpwned.com, et modifiez régulièrement votre mot de passe, une fois par trimestre idéalement. Et choisissez une combinaison « unique », dans tous les sens du terme :

  • propre à LinkedIn, donc un mot de passe différent de celui que vous utilisez sur les autres réseaux sociaux et services en ligne
  • complexe, donc long (idéalement 12 signes ou plus, même si LinkedIn en réclame minimum 8) et truffé de caractères spéciaux, de chiffres, et de lettres en majuscules et minuscules … tout en évitant soigneusement vos noms, numéros de téléphone et adresses électroniques

Au besoin, utilisez un générateur de mots de passe (comme LastPass1Password, Dashlane…) et, pour ne pas les oublier, un gestionnaire de mots de passe.

C’est fait ? Rendez-vous dans les paramètres de votre compte pour changer votre mot de passe.

C’est aussi par ici que vous trouverez un accès à la procédure établie par LinkedIn pour récupérer un mot de passe que vous auriez oublié… À moins que vous ne vous soyiez créé une clé d’accès.

Les clés d’accès (Passkeys), c’est en quelque sorte l’avenir de la sécurité. Plus de mot de passe à retenir ni à taper. Vous vous connectez avec la biométrie de votre appareil (FaceID, TouchID…) ou le code de déverrouillage de votre ordinateur. C’est plus simple, et surtout beaucoup plus résistant au hameçonnage (phishing), car il n’y a aucun mot de passe à saisir sur un site qui pourrait être frauduleux.

Dernier rappel à ce sujet : ne partagez jamais votre mot de passe ni votre clé d’accès !

2. Activez l’authentification à 2 facteurs (2FA)

Augmentez d’un sérieux cran le niveau de difficulté d’accès à votre compte LinkedIn, sans passer pour autant par l’achat d’une clé de sécurité physique (coûteuse et rendant impossible la récupération de mots de passe dans le cloud, par définition).

Activez tout simplement l’authentification à 2 facteurs (2FA), aussi appelée « Vérification en deux étapes ».

De la sorte, si LinkedIn ne reconnaît pas l’appareil à partir duquel vous tentez de vous connecter, il vous demandera de saisir le mot de passe de votre compte comme première étape de vérification. Et un code PIN, envoyé par SMS ou, beaucoup mieux, par une application mobile d’authentification de type « Google Authentificator » ou « Microsoft Authenticator », comme deuxième étape de vérification.

Si vous êtes connecté à LinkedIn sur un appareil mobile et que les notifications push sont activées, vous recevrez une notification push sur votre appareil mobile avec une invitation de sécurité de connexion au lieu de l’une des méthodes 2FA.

Notez que LinkedIn exige que tous les utilisateurs de ses formules premium Recruiter et Talent Hub activent la vérification en deux étapes.

La mesure est aussi fortement conseillée à l’ensemble des admins des comptes publicitaires (campaign manager) et des admins de pages entreprises, même si la corrélation entre l’activation de la 2FA et l’amélioration des performances des publications payantes et organiques n’a jamais été démontrée.

Concrètement, comment modifier votre méthode de vérification ? Rendez-vous dans le paramètre « authentification en 2 facteurs », puis cochez le bouton d’activation, en haut à droite, pour qu’il passe au vert.

3. Vérifiez votre identité et/ou votre employeur

Il existe deux méthodes pour vérifier son compte LinkedIn :

  • Pour les utilisateurs travaillant dans certaines grandes entreprises, LinkedIn, qui « explore des moyens d’élargir cette technique de vérification », les contacte par leur adresse e-mail professionnelle, et la vérification se fait alors en un clic
  • L’autre méthode de vérification de LinkedIn consiste à demander aux utilisateurs de soumettre à des partenaires tels que Persona, une pièces d’identité, singulièrement un passeport valide avec puce RFID.

Pour avoir suivi cette deuxième méthode avec une trentaine de personnes jusqu’ici, c’est bien souvent galère… Quand ce n’est pas tout bonnement impossible, LinkedIn n’ayant pas anticipé que certaines femmes (mariées) n’affichent pas nécessairement le même nom de famille sur leur profil que sur leur passeport…

Ces badges renforcent votre crédibilité (ou pas, certains pensant qu’ils ont été achetés) et réduisent les risques d’usurpation.

>>> Plus d’infos sur la vérification des profils LinkedIn

4. Ajoutez un numéro de téléphone

LinkedIn recommande d’associer un numéro de téléphone à votre compte pour en assurer la sécurité (comprenez: mieux lutter contre les faux profils) et pouvoir facilement le récupérer ou réinitialiser votre mot de passe si vous avez des difficultés à vous connecter.

Et pas de panique : votre numéro de téléphone n’apparaît pas sur votre profil si vous ne l’ajoutez pas vous-même dans la section « Coordonnées » de votre profil.

Cela dit, un p’tit petit conseil en passant : empêchez LinkedIn de faire le match entre votre numéro de téléphone et les membres qui ajoutent leurs carnets d’adresses et leurs listes de contacts téléphoniques.

5. Ne synchronisez ni vos contacts téléphoniques ni votre agenda

D’ailleurs, même si LinkedIn n’a plus été condamné depuis longtemps pour usage abusif de ces données, je vous recommande de ne pas synchroniser vos contacts téléphoniques et votre agenda professionnel avec votre profil LinkedIn.

6. Limitez les services qui ont accès à votre compte

Par le passé, vous avez peut-être autorisé l’accès à votre compte LinkedIn à des services tiers. Pour programmer des posts, remplir des formulaires, accéder à des statistiques…

Accédez à la liste de ces services autorisés et réduisez-la au strict minimum !

Attention, pour limiter l’accès aux services de Microsoft (maison-mère de LinkedIn), ça se passe ailleurs, du côté des « Partenaires et services », dans les « Préférences de compte ».

Idem pour l’accès de Microsoft Word à votre compte (si, si !) est également paramétrable.

Attention : j’ai constaté que les extensions de navigateur ne sont pas reprises dans ces listes. C’est peut-être le bon moment de faire le tri de ce côté-là aussi…

7. Vérifiez les sessions en cours

LinkedIn permet de voir quelles sont les connexions actuelles à votre compte. La plupart du temps, celles-ci sont liées à différents terminaux (ordis, téléphones, tablettes…) ou différents navigateurs web.

Mais vérifiez tout de même qu’il n’y a pas, dans votre liste, des connexions farfelues. Ou des connexions oubliées, qui ne sont plus nécessaires aujourd’hui.

8. N’offrez pas vos données aux « chercheurs »…

N’autorisez pas les « partenaires tiers de confiance » de LinkedIn à utiliser les données vous concernant à des fins de recherche sociale, économique et sur le lieu de travail.

9. …Et encore moins aux publicitaires

Empêchez l’utilisation de votre photo et de vos informations de profil pour personnaliser le contenu des publicités ciblées, y compris les offres d’emploi.

Tant qu’à faire : refermez autant que possible les données collectées par LinkedIn pour permettre aux annonceurs de vous cibler. Cela ne réduira pas le nombre de publicités auxquelles vous serez exposé.e mais bien leur niveau de personnalisation.

Sur la même page, empêchez la récolte de vos traces numériques (visites de sites, interactions, clics sur des pubs…), même « anonymisées ».

10. Réduisez la visibilité publique de votre profil

Il est tout à fait possible de très fortement réduire la visibilité de votre profil, que ce soit pour vos relations directes (1er niveau), pour votre réseau (niveaux 1, 2 et 3), pour l’ensemble des membres de LinkedIn, voire même au-delà, pour les non-membres les moteurs de recherche comme Google et Bing.

Le minimum possible ? Le nom de famille, le nombre de connexions et la région.

Mon conseil ? Affichez au moins votre photo de profil et votre champ « Titre du profil ».

Cela dit si vous bloquez tous les champs uniquement pour échapper à la curiosité de certaines personnes, mieux vaut carrément les bloquer.

11. Bloquez certains profils

Pour bloquer un profil, c’est-à-dire l’empêcher de voir quoi que ce soit de votre présence et de votre activité sur LinkedIn, en tout cas via son propre profil, allez sur ce profil, cliquez sur « Plus » et, enfin, choisissez l’option « bloquer ».

Évidemment, au passage, comme le précise LinkedIn, « vous ne serez plus en relation avec cette personne et vous perdrez toutes ses recommandations (générales ou de compétences) ».

Pour vérifier votre liste de comptes bloqués, voire pour débloquer certains comptes, cela se passe ici, dans vos paramètres.

Attention : j’ai remarqué qu’il était impossible de bloquer une personne qui est active dans au moins un même groupe que vous ou qui a ou va assister à un même événement LinkedIn que vous. Ce que m’a confirmé le service de support de LinkedIn, sans être en mesure de m’expliquer cette aberration.

J’ai aussi remarqué que les pirates utilisent désormais l’intelligence artificielle pour créer des profils de toutes pièces :

  • Le français parfait : terminés les messages bourrés de fautes. L’IA rédige des approches impeccables, avec le bon ton professionnel.
  • La photo générée : méfiez-vous des photos « trop parfaites », très lisses, avec un arrière-plan flou générique type banque d’images.
  • Le faux recruteur : menace numéro un du moment. On vous propose un poste de rêve, avec plusieurs entretiens, pour au final vous soutirer des données d’identité ou de l’argent (faux frais de dossier, de visa, de vérification).

Règle d’or : si un recruteur vous contacte, vérifiez toujours qu’il travaille bien pour l’entreprise qu’il prétend représenter:

  • en le retrouvant via la page « Employés » de l’entreprise sur LinkedIn
  • ou en appelant le standard de l’entreprise

Et fuyez immédiatement si l’on vous demande de payer quoi que ce soit dans le cadre d’un processus de recrutement.

12. Masquez vos relations de 1er niveau

Dans certains cas, réseau social ou pas, il est souhaitable de ne pas permettre à ses relations LinkedIn d’accéder à la liste de vos autres contacts. Sauf bien entendu les relations communes (1er niveau pour les 2 profil).

Ce paramètre méconnu est asymétrique. Il est donc possible de refermer son carnet d’adresses tout en ayant accès à celui de ses relations… qui auraient laissé ce paramètre ouvert.

BONUS : téléchargez vos données…

Pas encore complètement rassuré.e de surfer sur LinkedIn en toute sécurité ? Ultra-prudent.e, voire parano sur les bords ? Peur d’un bug ? Envie de vérifier ?

N’hésitez pas à télécharger vos « archives », c’est-à-dire l’ensemble, ou une partie, des données que LinkedIn a récoltées à votre sujet… Et retournez évidemment dans vos paramètres en cas de mauvaises surprises !


… Et méfiez-vous des pièces jointes

Enfin, restez vigilant dans la messagerie privée de LinkedIn, devenue elle aussi un terrain de chasse privilégié pour les hackers. Pourquoi ? Parce qu’on se méfie moins d’un profil « pro » que d’un e-mail anonyme.

  • Le danger : un inconnu vous envoie un fichier nommé Description_poste.pdf, Proposition_partenariat.zip ou un lien vers un document à « valider en urgence ».
  • Le risque : ces fichiers ou ces liens peuvent mener à des pages piégées capables de voler les cookies de votre navigateur et de contourner votre double authentification. Une fois vos sessions compromises, un pirate peut accéder à vos comptes sans connaître votre mot de passe.
  • La parade : n’ouvrez jamais une pièce jointe ni ne cliquez sur un lien envoyé par une personne que vous ne connaissez pas dans la vraie vie ou avec qui vous n’avez pas eu un échange suffisamment contextualisé et vérifiable. Demandez toujours un minimum d’explications dans le corps du message avant toute action.

En cas de doute, ne cliquez pas. Mieux vaut perdre une opportunité que de perdre un compte.

Ce guide pour sécuriser votre profil LinkedIn vous a été utile ? Il peut être amélioré ? Merci déjà pour vos retours constructifs… et pour vos partages, sur LinkedIn ou ailleurs !

Xavier Degraux

Vous pourriez aussi aimer
Aller au contenu principal