Dessins humoristiques suspects sur Facebook : le phishing mis hors de cause ?

Vous avez sans doute vu circuler sur Facebook ces derniers jours ces images évoquant, sous forme de BD, les relations amoureuses de manière humoristiques. En cliquant dessus pour les agrandir, vous étiez renvoyés vers un lien externe et soudainement, sur votre profil, des publications identiques s’automatisaient. Le signe généralement de pratique douteuse.

Facebook a rapidement supprimé de sa plateforme les liens incriminés ainsi que les posts qui les contenaient, note Avast, spécialiste de la cybersécurité. Cela semblait s’apparenter à une arnaque façon spam– au moins à un accès forcé aux données de votre compte.  Mais Avast refuse de parler pour le moment de tentative de phishing (ou hameçonnage, technique de collecte de données personnelles pour usurper votre identité).  "À l'heure actuelle, nous ignorons si l’arnaque visait à exécuter des activités malveillantes telles que le phishing ou les malwares", explique Vojtech Bocek, ingénieur software chez Avast. "Les pages ne semblaient pas collecter d'informations personnelles, comme les identifiants de connexion à Facebook."

Les utilisateurs français ont été tout particulièrement touchés par ce spam et sa propagation s’est rapidement faite, notamment jeudi en fin d'après-midi. "Les images utilisées étaient liées à des pages malveillantes hébergées sur le service de stockage Web d’Amazon, S3", ajoute l’expert d'Avast. Il s’agit comme souvent d’adresse web de la forme S3.AMAZONAWS.com qui cache l’URL véritable et ne permet pas de remonter jusqu’aux pirates.

Selon Avast, la technique a été finement élaborée. L’utilisateur cliquait sur l’image pour l’agrandir et il était redirigé vers un site  lui demandant de confirmer qu’il avait plus de 16 ans pour voir l’image. Pendant ce temps, la page en profitait pour partager un lien sur le fil d’actualités de l’utilisateur vers ce même site. Si l’utilisateur avait cliqué sur "oui", il pouvait alors voir mieux les illustrations humoristiques sur les relations amoureuses.

Selon l'analyse de Vojtech Bocek, c’est un bug de l’API Facebook qui serait en cause car elle donne "l’autorisation à des pages malveillantes de créer les URL Facebook soigneusement élaborées et apparaissant sur le fil d’actualités des utilisateurs". Les URL sont ensuite automatiquement partagées entre amis. Ce procédé, qui s’apparente à un spam à grande échelle, est assez fréquent sur Facebook, avec toujours une même stratégie : une image (qui peut être choquante ou à caractère sexuelle) avec un texte frappant qui va titiller la curiosité pour inciter les utilisateurs à cliquer. Le mal est fait et le spam se diffuse.  Le problème a pu être rapidement réglé grâce aux extensions de navigateur "qui séparent le réseau social des autres sites Internet (et) ont également empêché ce spam de fonctionner". "Il semble que le bogue ait depuis été corrigé, et que le lien lui-même ait déjà été effacé par la plateforme."

"L’incident est maintenant terminé", a indiqué de son côté Facebook, ajoutant même auprès du Parisien qu’aucune donnée d'utilisateur n'avait été partagée, "car la seule action était de poster ce même lien sur les murs des utilisateurs". Si ces images ne semblent pas, pour le moment, cacher une tentative de piratage, quelques réflexes s’imposent cependant si vous avez cliqué dessus : effacez la publication qui a pu se faire à votre insu sur votre fil d’actualité. Allez dans les paramètres de votre compte dans "Apps et sites web" vérifier tous les sites et services qui sont connectés à votre compte afin de supprimer l’application. Allez également dans les paramètres de votre navigateur (Explorer, Bing, Chrome, Firefox, etc.) afin de vous assurer qu’aucune extension n’a été installée.