Mots de passe Facebook piratés : êtes-vous concerné ?
Panique chez Facebook : Meta a repéré plus de 400 applications tierces qui volaient des identifiants et mots de passe Facebook en réclamant une connexion à un compte sur le réseau social. 1 million d'utilisateurs sont touchés.
Les applications vérolées se suivent et se ressemblent. Vendredi 7 octobre, Meta a indiqué sur le blog de Facebook avoir découvert plus de 400 applications malveillantes sur l'App Store et le Play Store. Elles prennent de nombreuses formes : jeux, VPN, éditeurs de photos, suivis de fitness, horoscopes, gestions de publicités… Mais, sous couvert d'offrir des fonctions incroyables, elles volent en réalité les noms d'utilisateur et mots de passe Facebook de leurs utilisateurs. Et pour y parvenir, elles ont recours à une méthode simple mais très efficace : demander à la victime de connecter son compte Facebook à l'application afin de pouvoir l'utiliser. Bien évidemment, il s'agit d'une fausse page de connexion qui subtilise les identifiants. Au total selon Bloomberg, un million d'utilisateurs ont été potentiellement affectés.
Connexion au compte Facebook : le bon moyen de voler des identifiants
Pour piéger leurs victimes, les applications les appâtent avec des fonctions incroyables et utiles. Ainsi, les éditeurs photo offrent de transformer l'utilisateur en dessin animé, les VPN prétendent augmenter la vitesse de navigation ou permettre l'accès à des contenus ou des sites web bloqués, les jeux mobiles promettent des graphismes 3D de haute qualité. Dans le même style, des applications commerciales ou de gestion des publicités affirment offrir des fonctions cachées ou non autorisées dans les applications officielles de réseaux sociaux. Sur le papier, les promesses sont attrayantes. Mais, pour faire fonctionner les applications, les utilisateurs doivent absolument se connecter à leur compte Facebook. Ils sont alors redirigés vers une fausse page de connexion qui ressemble trait pour trait à la vraie. Une fois les identifiants rentrés, le piège se referme. Il est d'autant plus vicieux que, pour rendre les applications vérolées encore plus populaires, les personnes derrière la supercherie publient de nombreux faux avis sur la page du magasin officielle afin de rassurer l'utilisateur et de noyer les mauvaises notes. Pire encore, certaines sont vraiment fonctionnelles !
Meta affirme avoir contacté Google et Apple, qui ont immédiatement supprimé les applications de leur magasin. Sur les quelque 400détectées, seulement 15 proviennent de l'App Store : sans grande surprise, c'est le Google Play Store, coutumier du fait, qui en abrite le plus. C'est d'autant plus inquiétant que les applications sont censées être contrôlées avant leur mise sur le marché. Bien évidemment, Meta est en train de contacter les personnes susceptibles de s'être fait dérober leurs identifiants d'après sa base de données – tous ne sont pas compromis – et en profite pour donner quelques conseils. "Si une application promet quelque chose de trop beau pour être vrai, comme des fonctionnalités inédites sur une plateforme ou un réseau social, il y a de fortes chances qu'elle ait des arrière-pensées", rappelle David Agranovich, responsable au sein de Meta. Dans tous les cas, mieux vaut vérifier sur le rapport si l'une de ces applications a été installée et, si c'est le cas, la désinstaller immédiatement et changer ses identifiants Facebook – mais aussi des comptes qui ont le même mot de passe. Voici un échantillon des applications vérolées :
- Video Converter
- Photo Frame PIP Collage Maker
- Ad Optimization Meta
- Fortune Finder
- Psychology Facts
- Cool Photo Editor
- Bamboo VPN
- Candles VPN
- HD Video Player with music
- Shape Photo Editor
- Flash QRCode Scanner
- Game Booster
- Animated GIF & Stickers
- FB Advertising Optimization
- Business Manager Pages
- Tower Defense Zone – Batmen Rush
Rappelons que, pour ne pas se faire avoir, il faut être attentif à certains détails au moment de l'installation d'une application. Généralement, les comptes des développeurs ne comportent qu'une seule application, et les logiciels demandent des autorisations dont ils n'ont normalement pas besoin pour remplir leur fonction. Malheureusement, certains arrivant à passer entre les mailles du filet, mieux vaut ne pas trop sortir des sentiers battus et se contenter d'applications populaires et reconnues – même si ce n'est pas un gage de sécurité absolu.