Ce document a donc pour but de faire le point sur les menaces sociales du Net et de proposer des recommandations pour les utilisateurs afin de les proteger d'attaques cybercriminelles sur Facebook.

2. Les amis, Les ennemis
et Facebook :
La nouveLLe Lutte
contre Les escrocs
GeorGe Petre, tuDor FLorescu, ioana JeLea

3. table des matières
auteurs et collaborateurs bitdefender . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 6 . Les changements à venir . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 7 . conclusions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
1 . vue d’ensemble des vulnérabilités des réseaux sociaux . . . . . . . . . . . . . . . . . . . . 6 8 . règles à suivre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
2 . Que peut-il exactement se produire ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 a. Politique du mot de passe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
2.1. Vol de données et dissémination de malwares . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 b. Supprimez les cookies après déconnexion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
2.2. Les attaques ciblées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 c. Utilisez des connexions cryptées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
2.3. Détournement de contenus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 d. Activez toutes les notifications de connexion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
3 . Qui a le droit de faire quoi ? Les systèmes d’autorisation des réseaux sociaux 12 e. Soyez prêt en cas de détournement de compte . . . . . . . . . . . . . . . . . . . . . . . . . . 34
3.1. Les permissions Facebook . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 f. Protégez vos informations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
3.2. Les nouvelles permissions – Un pas de plus vers l’interactivité sur Facebook . . 15 g. Sélectionnez avec discernement quelles informations vous publiez . . . . . . . . . . . 35
4 . mécanismes d’attaque sur Facebook . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
4.1. Techniques de détournement de comptes utilisant des fonctions spécifiques de Facebook 18
a) Le détournement du “J’aime” : le likejacking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
b) Le détournement de tag : le tagjacking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
c) Le détournement d’événement : l’eventjacking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
d) Les fausses notifications d’administration de page . . . . . . . . . . . . . . . . . . . . . . . . . 21
4.2. Arnaques copier/coller d’un Java Script . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
4.3. Phishing via de fausses pages de connexion . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
4.4. Détournement de session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
4.5. Malware sur les réseaux sociaux – Etude d’un cas : le cheval de Troie . . . . . . . 25
5 . Quel est le niveau d’efficacité des attaques contre les réseaux sociaux ? . . . . 26
Découvre qui a consulté ton profil. Une très courte étude de cas . . . . . . . . . . . . . . . . . 27
3

4. auteurs et collaborateurs bitdefender
auteurs :
George Petre – Responsable produits, Sécurité des réseaux sociaux
Tudor Florescu – Analyste des menaces en ligne
Loana Jelea – Spécialiste en communication et analyse des menaces sur le Web
contributeurs :
Loredana Botezatu – Spécialiste en communication et des menaces sur le Web
Razvan Livintz – Spécialiste en communication et des menaces sur le Web
Doina Cosovan – Analyste antivirus
Razvan Benchea – Analyste antivirus
4

5. résumé
Au moment où les e-menaces ciblant les réseaux sociaux en ligne ont Avant même ces changements, Facebook était constamment la cible
dépassé le stade de simple curiosité et progressent sur le front de la sécurité d’arnaques dues à sa popularité et son énorme réservoir d’utilisateurs. Les
des données, nous les considérons comme un vecteur de cyber-attaques escroqueries classiques n’ont pas pour autant disparu, ce qui fait que ces
conçues pour le vol de données personnelles. changements sont susceptibles d’ajouter de la variété, et, comme il en sera
question plus loin, de l’efficacité, à un phénomène bien installé sur le réseau
A l’heure où plus de 800 millions de personnes s’activent désormais sur le social .
plus important réseau social à ce jour, la manière dont les informations sont
échangées et/ou protégées dans ce type d’environnement est devenue l’un Un autre aspect important à considérer est que la présence sur un réseau
des principaux enjeux de la sécurité des données. social est aussi un outil important de publicité personnelle à partir de laquelle
des chercheurs d’emplois peuvent être jugés au cours d’un processus de
Ces dernières semaines, les préoccupations des utilisateurs sont centrées recrutement. D’autre part, une fois que les candidats à un emploi sont
autour à des changements à venir ou déjà implémentés par Facebook. recrutés, leurs comptes, et toutes les données qu’ils contiennent sur leur
Après la mise à jour des Contrôles de la confidentialité et l’introduction activité, peuvent être utilisés par les cybercriminels pour concevoir des
discrète des Smart Lists, la Conférence f8 a fait passer l’utilisation et la attaques ciblées contre les entreprises concernées.
confidentialité à un autre niveau, en introduisant les Abonnés, le News Ticker
et un ravalement du Mur, sans oublier les deux changements vedettes – le Ce document a donc pour but de faire la lumière sur les menaces sociales
Timeline et les nouvelles fonctionnalités de Open Graph. du Net et de proposer des recommandations pour les utilisateurs afin de leur
éviter d’être victimes d’attaques cybercriminelles sur un réseau social. Bien
Ces nouvelles fonctionnalités ont pour dessein d’augmenter les interactions que son objectif soit de fournir une vue d’ensemble des réseaux (plateformes
entre utilisateurs, mais elles engendrent également une nouvelle dimension et applications), ce livre blanc s’intéresse particulièrement à Facebook, le
aux problèmes de confidentialité et de sécurité des données personnelles. A plus important acteur dans ce domaine. Les découvertes présentées dans
elle seule, la mise à jour de Timeline est susceptible de donner un nouveau ce document proviennent essentiellement de Bitdefender Safego, un outil
sens au concept même de vie privée puisque les moindres détails de la vie gratuit conçu pour protéger les comptes des réseaux sociaux contre les
des utilisateurs peuvent désormais être partagés et catalogués. En outre, menaces visant les utilisateurs de Facebook et de Twitter. Safego protège
App Ticker rend plus facile aux utilisateurs de voir à quelles applications actuellement plus de 100.000 utilisateurs de Facebook dans le monde.
leurs amis ont eu accès, ce qui peut avoir des conséquences sur la rapidité
avec laquelle une arnaque se répand à partir du moment où la personne à
qui l’on fait confiance est elle-même tombée dans le panneau.
5

6. 1 . vue d’ensemble des vulnérabilités des
réseaux sociaux
6

7. Tous les sites Web de réseaux sociaux ont leurs faiblesses et des bugs,
qu’il s’agisse de problèmes d’enregistrement/connexion, des possibilités
de cross-site scripting (XSS) ou des vulnérabilités de Java que les intrus
peuvent exploiter. Un simple cheval de Troie dropper, qu’un attaquant
dissimule dans un widget ou une bannière de pub sur la page de l’utilisateur,
peut pénétrer furtivement dans un système insuffisamment protégé. Quand
un utilisateur accède à un site commercial en ligne à partir de la machine
compromise, le cheval de Troie peut s’emparer de son nom d’utilisateur et
de son mot de passe, du numéro de sa carte bancaire et d’autres données
sensibles, et les envoyer à l’attaquant à distance.
A l’heure actuelle, les réseaux sociaux comptent parmi les quelques
applications qui ne dépendent pas d’une plateforme particulière, en d’autres
termes, les réseaux sociaux peuvent fonctionner sur n’importe quel
ordinateur possédant un navigateur assez récent, aussi bien que sur toutes
les principales plateformes mobiles : iOS, Android, Symbian et Windows.
D’autre part, tandis que les réseaux sociaux, comme Facebook, possèdent
leur propre nuage sécurisé dans lequel ils conservent les données
personnelles de leurs utilisateurs, de nombreuses applications tierces
incontrôlées ont accès à ces informations sensibles (dès que l’utilisateur
en donne l’autorisation lors de l’installation de l’application), qui sont alors
stockées dans le propre nuage de ces applications. Il n’existe aucun moyen
de contrôler ce qu’il advient des données une fois qu’elles se trouvent dans
le nuage privé d’une application.
7

8. 2 . Que peut-il exactement se produire ?
Les réseaux sociaux en tant que vecteurs
d’attaques
8

9. 2 .1 . vol de données et
dissémination de malwares
Les plateformes de réseaux sociaux sont ciblées par les cybercriminels en
raison des millions de contacts, d’adresses électroniques, de photos et autres
données sensibles qu’ils contiennent. En effet, les réseaux sociaux incitent
les utilisateurs à rendre publiques le maximum de données personnelles
dans la mesure où le paramètre par défaut de la vie privée est “Publique”.
Le fait que des données confidentielles puissent facilement être transférées
du nuage du réseau social vers celui de parties tierces rend leur vol facile.
Il arrive souvent qu’une application légitime, qui effectue exactement ce
qu’indique sa description, soit utilisée comme un parfait outil de vol de
données personnelles. Par exemple, une application ludique apparemment
inoffensive, promettant à l’utilisateur de lui faire connaître ce que son
nom révèle de son caractère, sollicite de multiples permissions et taggue
illicitement tous les amis de l’utilisateur .
Dans ce cas, la possibilité de tagguer assure une large audience à cette
arnaque et peut ouvrir la voie au vol de toutes les données personnelles des
personnes visées. Leur adresse électronique peut devenir à elle seule une
source de profit sur le marché du spam. Fig. 1 – Message publicitaire de l’application ludique
Cette escroquerie peut se disséminer auprès d’un nombre impressionnant
de membres des réseaux sociaux. Un bon exemple est l’arnaque “Découvre
qui a consulté votre profil”, qui promet d’indiquer à la victime combien
de personnes ont consulté son profil. D’après les données réunies par
Bitdefender Safego, cette arnaque comprend en moyenne 286 URL uniques
par vague, 14 applications Facebook uniques, 1.411.743 clics collectés et
un pic de diffusion de chaque URL atteint au bout de 34 heures.
9

10. Les ennuis des médias sociaux ne s’arrêtent pas là. De nombreuses
pages Web de réseaux sociaux peuvent fournir une plateforme idéale et
rentable de distribution de virus, vers et bots, chevaux de Troie, rootkits,
spyware, adware, grayware, faux logiciels de sécurité, et d’autres
catégories de malwares. Ou bien encore, un bout de code peut être ajouté
à chaque page de chaque utilisateur, de telle manière qu’à chaque fois
que l’utilisateur s’y connecte, un bot est immédiatement téléchargé dans le
système, transformant l’ordinateur non protégé en “zombie” (une machine
compromise intégrée dans un plus grand réseau de machines infectées,
appelé botnet, qu’un attaquant contrôle à distance).
Fig. 2 – Liste des permissions demandées
10

11. 2 .2 . Les attaques ciblées 2 .3 . Détournement de contenus
La liste d’amis de l’utilisateur (comprise dans les informations rendues Les messages, commentaires et vidéos peuvent être transformés en adware
accessibles au développeur de l’application grâce à l’autorisation “Accéder et spyware non sollicités. A défaut de renforcer les mesures de sécurité et
à mes informations de base”) peut être exploitée par les attaquants. Un de consacrer des efforts constants pour préserver l’intégrité des contenus
intrus peut réunir des données sur la taille de l’organisation pour laquelle affichés, les pages, les groupes et les profils des réseaux sociaux peuvent
travaille la personne concernée, sa hiérarchie, son expérience et son niveau être usurpés, voire détournés.
de connaissances informatiques, etc. Ces informations peuvent localiser un
employé qui peut être conduit à révéler des données encore plus sensibles
ouvrant ainsi une porte dérobée dans le réseau de l’entreprise.
D’autres scénarios associant différentes stratégies sont également
possibles. Avec des techniques d’ingénierie sociale très polyvalentes, les
attaquants peuvent utiliser un réseau en ligne professionnel pour cibler les
employés qui, sans être nécessairement des experts de la sécurité, peuvent
avoir accès aux ressources des données essentielles du réseau de leur
organisation .
Envisageons l’hypothétique scénario d’une attaque consistant à persuader
la victime sans suspicion de communiquer des données sensibles par
e-mail. Peaufiner soigneusement le message pour lui donner l’apparence
d’un message légitime (émanant du PDG, par exemple) a des chances de
porter ses fruits. Si le message contient un fichier PDF attaché, chargé
de malwares, et que l’employé l’ouvre, le pirate accède au réseau de
l’organisation et en extrait les données qui l’intéressent.
Fig. 3 – Tous les amis de l’utilisateur sont
automatiquement taggués.
11

12. 3 . Qui a le droit de faire quoi ?
Les systèmes d’autorisation
des réseaux sociaux
12

13. Les réseaux sociaux les plus importants ont développé des plateformes
permettant à des développeurs tiers de créer des applications ciblant
leurs membres. Pour pouvoir s’installer et fonctionner sur les comptes
utilisateurs, ces applications doivent avoir accès à différents types de
données à l’intérieur du compte, en fonction d’une série d’autorisations.
Chaque autorisation (telle qu’elle apparaît à l’utilisateur dans la boîte
Demande de permission reproduite ici) correspond à plusieurs catégories
de données. Par exemple, en sélectionnant “Accéder à mes informations
de base”, l’utilisateur peut autoriser l’accès à toute une série d’informations
personnelles, comme sa liste d’amis, ou toute autre information partagée
par tous. La possibilité de sélectionner à quel type d’informations on
donne accès n’existant pas, l’utilisateur n’est pas réellement conscient des
données effectivement exposées. Un attaquant utilisant une application
manipulatrice peut s’emparer de toutes les informations existantes.
3 .1 . Les permissions Facebook
Fig. 4 – La page Demande de permission d’une application. Accéder
à mes données de base inclut : nom d’utilisateur, photo du profil,
Facebook étant le réseau social le plus populaire, cette section va
sexe, réseaux, identifiant de l’utilisateur, et toute autre information
examiner son système d’autorisations et les risques menaçant les données que l’utilisateur a partagée avec tous.
personnelles de l’utilisateur. La liste complète des permissions, vue du côté
du développeur de l’application, comme les données associées auxquelles
ces permissions donnent accès, peut être consultée ici .
13

14. Que va-t-il se passer du côté de l’utilisateur ? Voici quelques exemples de Publier sur mon mur . Les applications truquées vont utiliser cette
détournement d’autorisations à des fins de vol de données personnelles. permission pour inonder le mur de l’utilisateur et ceux de ses amis avec des
contenus non sollicités qu’il diffuse. Les applications légitimes vont utiliser
m’envoyer des messages électroniques . Les applications des réseaux cette permission pour afficher les informations intéressantes ou utiles que
sociaux tournent dans les “nuages”, ce qui signifie qu’elles utilisent leur l’utilisateur a expressément accepté de recevoir et de lire (des statistiques
propre nuage (les applications Facebook ne sont pas développées par par exemple).
Facebook sauf avis contraire). Il est impossible de contrôler le devenir
des données une fois dans le nuage . Ce qui veut dire que les adresses accéder à mes données en permanence . Cette autorisation peut
électroniques peuvent tomber entre les mains de spammeurs. Facebook permettre aux créateurs d’applications truquées d’envoyer leurs messages
offre à ses usagers la possibilité de cacher leur véritable adresse électronique au bon moment, sans risque de les voir effacés par le détenteur du compte.
et d’en utiliser une qui soit temporaire pour chaque application. Cependant, Quand cette autorisation n’est pas demandée, l’application ne peut interagir
cette option n’est pas activée par défaut et est destinée à bloquer de futures avec le compte de l’utilisateur que lorsque ce dernier est connecté. En
vagues de spams, quand l’utilisateur a supprimé une application ou l’a général, à moins que l’application ne soit un jeu, les utilisateurs ne seront
signalée comme génératrice de spams. connectés qu’un court moment. Si l’application peut avoir accès à tout
moment aux données de l’utilisateur, dès que l’inoffensif contenu initial s’est
accéder à mes informations de base . Avec les adresses électroniques, assuré une large audience, il sera plus facile au créateur de l’application
les informations de base de l’utilisateur peuvent aider les spammeurs à d’introduire le contenu nocif, au moment où ses agissements peuvent ne
créer des messages personnalisés qui exploitent les goûts, les centres pas être remarqués par l’utilisateur.
d’intérêt, etc… exprimés par l’utilisateur. Ces deux autorisations peuvent être
abusives, mais elles sont nécessaires au fonctionnement de nombreuses Comme une application ne peut solliciter qu’un ensemble fixe de permissions,
applications légitimes qui ont besoin de pouvoir identifier avec certitude les le défi pour l’utilisateur est de trouver le moyen de distinguer les bonnes
utilisateurs pour rester en communication avec eux. applications des mauvaises.
Gérer mes pages . Cette autorisation peut devenir un outil dangereux dans Une solution pour l’utilisateur est d’examiner attentivement ce que
de mauvaises mains car elle permet de récupérer les droits d’administration l’application promet de fournir et le degré de vraisemblance de la promesse
des pages que l’utilisateur administre. En conséquence, la fausse application (“Découvre qui a consulté ton profil”, “Mon tout premier statut sur Facebook»,
ayant sollicité cette permission peut commencer à poster des messages par exemple, sont des appâts rentables pour les applications truquées).
automatiques (provenant en apparence de l’utilisateur légitime) sur toute Une simple recherche sur Internet peut dissiper des doutes sur la légitimité
page administrée par la victime. d’une application.
14

15. 3 .2 . Les nouvelles permissions –
un pas de plus vers l’interactivité
sur Facebook
Les récents changements de la structure des comptes Facebook, Facebook va également adapter le flux des demandes d’autorisation en
annoncés à la conférence f8 en septembre 2011, offrent aux développeurs fonction des changements récents. Ce qui signifie qu’il sera d’abord demandé
les autorisations nécessaires pour rendre les messages générés par aux utilisateurs d’autoriser un ensemble de permissions essentielles,
les applications plus visibles sur le nouveau profil de l’utilisateur (appelé incluant E-mail and Publish Stream (ce qui permet à l’application d’accéder
Timeline). En introduisant le concept de “widget”, Facebook permet à la Timeline) ; la liste étendue d’autorisations (certaines d’entre elles ayant
pratiquement aux développeurs d’agir sur différents objets, ce qui porte été décrites plus haut) apparaîtra dans une seconde page de dialogue.
les interactions à un tout autre niveau. Jusqu’à maintenant, toute personne Facebook propose maintenant aux utilisateurs la possibilité d’annuler
possédant une application installée interagissait avec ses amis à l’intérieur n’importe quelle autorisation figurant dans la liste étendue, ce qui leur offre
de cette application. Désormais, l’application se trouve sur le mur de théoriquement plus de contrôle sur les informations auxquelles ils autorisent
l’utilisateur, ce qui fait que toute personne interagissant avec le profil de l’accès et sur les initiatives que les applications peuvent prendre.
l’utilisateur interagit avec l’application.
Etant donnée la courte durée de vie des applications générant des spams,
ceci pourrait stimuler leur efficacité. Cependant, compte tenu du fait que la
caractéristique est récente, il va probablement se passer un peu de temps
avant que les spammeurs l’exploitent à fond.
15

16. 4 . mécanismes d’attaque sur Facebook
16

17. Une application véhiculant une arnaque poste automatiquement des
messages sur le mur de la victime et sur celui de ses amis, de manière
à inciter le plus possible de personnes à cliquer, ce qui lui permet de se
disséminer plus rapidement. Des messages aguicheurs (utilisé comme
de véritables appâts) liés à des actions spécifiques qui déclenchent les
réflexes de l’utilisateur (allant d’un simple clic, à un tag, voire à la création
d’un événement) constituent l’arnaque sociale parfaite.
Un seul clic, et les utilisateurs voient leur compte inondé de messages
truqués envoyés automatiquement, comme dans l’image ci-dessous.
Fig. 6 – Envoi automatique de messages
Fig. 5 Variantes de l’arnaque du type “qui a consulté votre profil”
17

18. 4 .1 . techniques de détournement
de comptes utilisant des fonctions
spécifiques de Facebook
a) Le détournement du “J’aime” : le likejacking
Après avoir cliqué sur un lien pour voir le contenu d’une vidéo au titre
scandaleux ou choquant, la victime va découvrir qu’un message a été posté
automatiquement sur son mur, disant qu’il a AIMÉ ce lien. Comment est-
ce possible ? Un script Java installe un bouton “J’aime” invisible sous le
bouton Voir la vidéo. L’utilisateur clique pour regarder la vidéo, sans se
rendre compte qu’il “aime” la vidéo.
Cette menace a évolué d’une manière intéressante. Au départ, le mécanisme Fig. 7 – Message de détournement de “J’aime”
“J’aime” de Facebook consistait en une ligne s’affichant sous l’en-tête
“Activité récente” de la page Profil de l’utilisateur.
Ensuite, la plateforme a amélioré le mécanisme viral de ce bouton, en
rendant son résultat semblable à celle de la fonction “Partager”. Autrement
dit, tous les “J’aime” s’affichent maintenant sur le mur avec une vignette et
une brève description.
18

19. b) Le détournement de tag : le tagjacking
Cette technique utilise l’option tag fournie par la plateforme sociale. Après
avoir été incité à cliquer sur un lien vers un contenu vidéo, la victime va
découvrir qu’une photo a été ajoutée à sa galerie et que tous ses amis ont
été taggués sur cette photo.
Le phénomène du détournement des tags est basé sur un mécanisme
de diffusion extrêmement infectieux, qui permet d’assurer une plus large
audience au message, comme illustré ci-dessous :
Fig.8 Détournement de tag – première étape
AMI A (a cliqué sur le lien) -> AMI B* (récupère un message sur le mur
lui disant qu’il a été taggué, il cliquera sur le lien ou non) -> AMI C* (voit
le message concernant le tag de B et peut avoir accès au lien malveillant
même si B n’a pas cliqué dessus)
*B est l’ami de A et C est l’ami de B.
Fig. 9 - Détournement de tag – deuxième étape
19

20. c) Le détournement d’événement : l’eventjacking
Cette arnaque consiste à la création d’un faux événement pour inciter les
utilisateurs à cliquer et disséminer une application nuisible. Par exemple,
vous êtes invité à assister au prétendu lancement de l’application
OFFICIELLE “Découvre ceux qui ont consulté ton profil”.
Dans tous les cas évoqués jusqu’ici, à partir du moment où ils se sont
Fig. 10 – Message annonçant un faux événement
assurés une audience de façon illicite, les cybercriminels peuvent remplacer
le contenu inoffensif du départ (le plus souvent un film) par des éléments
malveillants. Le message automatique resté sur le mur de l’utilisateur pour
que tout le monde puisse le voir, peut se transformer en un contenu qui
met les données en danger : des pages de phishing ou, pire, du malware
déguisé en plugins utiles.
Fig. 11 – Page annonçant un faux événement
20

21. d) Les fausses notifications d’administration de page
Les arnaqueurs créent une fausse fanpage Facebook et un onglet
customisé. Celui-ci, qui est utilisé comme “landing page” par les escrocs
(ce qui signifie que tous les utilisateurs atterrissent sur cette page quand ils
cliquent sur le lien), est intégré un lien de redirection. Pour promouvoir la
page, les arnaqueurs ajouteront de nombreux utilisateurs sur Facebook en
tant qu’administrateurs de la page malveillante. Quand les utilisateurs sont
désignés comme tels, ils reçoivent un e-mail les notifiant au sujet de leur
“nouveau statut social». Fig. 12 – Notification adressée à des utilisateurs soi-disant nommés
administrateurs d’une page Facebook
A la réception de cette notification, les utilisateurs, attisés par la curiosité,
cliqueront sur le lien parce qu’ils ne connaissent pas cette page ou ils ne
se souviennent pas avoir déjà pris part à cette création de fanpage. Quand
ils atterrissent ensuite sur la fausse page Facebook, ils sont redirigés vers
une page malveillante. Dans la variante identifiée dans cet exemple, la
page malveillante est utilisée pour collecter les données personnelles des
victimes (adresses électroniques et adresses de livraison).
Fig. 13 – Message affiché sur la page web malveillante vers
laquelle les utilisateurs ont été redirigés
21

22. 4 .2 . arnaques copier/coller
d’un Java script
Certaines applications promettant de fournir des statistiques (par exemple
“qui a consulté votre profil”, “qui vous a bloqué”, “qui est votre plus grand
admirateur”, etc.), de vous permettre d’accéder à des contenus choquants,
ou même d’éviter de perdre une fonction spécifique de Facebook (par
exemple “récupérer un ancien profil”, “confirmer que le compte est actif”,
etc.), nécessitent de coller un script Java dans le navigateur de l’utilisateur.
Une fois dans le navigateur, le code peut accéder aux contrôles Facebook
avec les privilèges de l’utilisateur et il diffusera cette arnaque en utilisant
les API Facebook comme des messages, des invitations et des envois de
messages sur le mur des amis .
Fig. 14 Exemple d’une arnaque qui repose sur le mécanisme du copier/
coller. Dans ce cas précis, le mécanisme viral est renforcé par les citations
des amis ayant participé à une discussion au sujet de la prétendue
trouvaille mise à disposition par l’application.
Fig. 15 – Exemple d’instructions de type “copier/coller le code”
22

23. 4 .3 . Phishing via de fausses pages
de connexion
Le phishing est une méthode illicite qui consiste à récupérer le nom des
utilisateurs, leurs mots de passe ou leurs numéros de cartes bancaires en
créant une contrefaçon d’une page web d’un organisme de confiance. Les
appâts du phishing sont généralement envoyés par e-mail ou messagerie
instantanée. Une fois l’utilisateur connecté au réseau social, aucune
application ne doit lui redemander le mot de passe de son compte. La
recherche d’indicateurs spécifiques de la légitimité d’une page aide les
utilisateurs à ne pas tomber dans les filets du phishing :
1 . La page URL doit être orthographiée correctement et utiliser une
connexion sécurisée pour l’identification (le préfixe https:// doit apparaître
dans la barre d’adresse) .
Fig. 16 – Page Facebook authentique
2 . L’année qui suit les éléments du copyright doit être correcte.
3 . La page Facebook authentique offre aux utilisateurs la possibilité de se
connecter en utilisant leur langue maternelle .
4 . La page trafiquée ne contient pas toutes les options de l’authentique page
Facebook. Le vol de mot de passe n’est qu’un des moyens de prendre le
contrôle d’une page de Facebook. Le compte peut aussi être piraté via
une application quand l’utilisateur légitime est connecté.
Afin de prendre le contrôle d’une page Facebook, dérober le mot de passe
reste une option parmi d’autres. Le compte peut être détourné par le biais
d’une application alors que le propriétaire légitime du compte est connecté
à Facebook.
Fig. 17 Page Facebook trafiquée
23

24. 4 .4 . Détournement de session
Sur un réseau indigne de confiance, les utilisateurs qui naviguent sans Même si Facebook a fait beaucoup de progrès en intégrant le support
outil de sécurité peuvent être victimes d’un détournement de session. SSL, la plupart des utilisateurs n’ont toujours pas recours à la sécurisation
Firesheep, l’extension de Firefox, a été créée pour mettre cette vulnérabilité de leur navigation et même les pages les plus populaires n’offrent pas le
en évidence et faire prendre conscience aux utilisateurs de l’importance de support SSL complet. Le faible taux d’adoption de SSL peut indiquer une
naviguer avec une connexion SSL. méconnaissance des avantages qu’offre cette pratique. En outre, cette
option n’est pas activée par défaut.
Une description complète de cette situation est disponible ici .
Peu de temps après que Firesheep ait provoqué un buzz médiatique,
Facebook a permis à ses utilisateurs de naviguer sur le réseau au moyen
d’une connexion sécurisée, à chaque fois que cela était possible . Ce qui a
constitué une importante étape vers des échanges plus sûrs, même si le
téléchargement d’une application non-SSL forçait les utilisateurs à revenir à
une connexion non sécurisée.
Le 19 avril 2011, Facebook a encore amélioré le support SSL en introduisant
l’option du retour automatique, tainsi que d’autres fonctions de sécurité .
D’autre part, la feuille de route de la plateforme Facebook a fixé au 1er
octobre 2011 la date d’implémentation du support SSL des applications
Canvas .
24

25. 4 .5 . malware sur les réseaux sociaux Trojan.FakeAV.LVT possède un composant d’un faux antivirus innovant.
Les fausses solutions antivirus piègent généralement les utilisateurs par le
– etude d’un cas : le cheval de troie biais de pop-up prétendant que le PC est infecté par un malware. Ce cheval
de Troie commence par diffuser des messages d’alerte personnalisés
Le cas de Trojan.FakeAV.LVT donne une dimension nouvelle à l’ingénierie semblables à ceux de la solution antivirus qu’il a trouvé installée dans le
sociale. Son déploiement est extrêmement complexe : dans une fenêtre de système. Le code malveillant détecte quel antivirus utilisateur sur l’ordinateur
chat Facebook, un ami engage une conversation avec la personne ciblée. et quel langage d’interface a été sélectionné par la cible, et peut ainsi imiter
La conversation débute par des questions comme “Salut, comment vas-tu les légendes, les icônes et les messages correspondant aux paramètres
?”, “Est-ce toi dans cette vidéo ?” ou “Tu veux voir ?”, suivies d’un lien vers personnalisés de l’antivirus installé.
une vidéo censée représenter la personne ciblée.
Un clic sur le lien fait apparaître une page YouTube contenant une vidéo
avec le nom de la cible en titre (directement sorti de son profil Facebook).
En plus, quelques amis de la cible (dont les noms sont pris dans la liste
d’amis Facebook) sont présentés comme ayant fait des commentaires sur
la vidéo .
Si la cible clique pour voir le film, il ou elle sera invité(e) à télécharger une
nouvelle version de Flash Player, parce que la version actuellement installée
est “périmée”. En réalité, le téléchargement installe un cheval de Troie sur
le PC de l’utilisateur .
Le code malveillant s’ajoute à la liste du pare-feu des applications autorisées,
et il arrive que le pare-feu soit lui-même désactivé. Toutes les notifications
produites par le pare-feu et l’antivirus installés sur le PC seront désactivées,
dépouillant le système de toute protection. Le cheval de Troie affiche une
fenêtre d’avertissement et demande un redémarrage du système pour
détruire le prétendu virus. Un mécanisme de mise à jour complexe permet
au code malveillant de rester inaperçu et d’ajouter en permanence de
nouveaux composants de malware.
Fig. 18 – Page diffusant la vidéo censée montrer la victime, avec des
commentaires apparemment émis par ses amis.
25

26. 5. Quel est le niveau d’efficacité des
attaques contre les réseaux sociaux ?
26

27. On dit que les arnaques atteignent les utilisateurs par vagues. Une vague est
composée de plusieurs URL conduisant vers des applications possédant des
fonctionnalités presque identiques, se diffusant à l’aide d’un message quasi
identique, pendant une courte durée.
Le succès d’une vague d’arnaques repose sur l’association entre ingénierie
sociale et puissance virale. Les appâts qui reposent sur le même sujet (par
exemple le très populaire “Découvre qui a consulté ton profil”) sont conçus
pour déclencher les réactions émotionnelles recherchées et concerner une
grande quantité de cibles .
Les effets viraux sont obtenus en favorisant les mécanismes de diffusion
utilisant des fonctionnalités altérées de la plateforme, comme dans le cas du
détournement de tag (voir b) Détournement de tag).
Les résultats peuvent être impressionnants.
Découvre qui a consulté ton profil. Une très
courte étude de cas
• 286 URL uniques par vague, en moyenne. Fig. 19 – L’ingénierie sociale à l’œuvre dans des variantes du “Découvre
qui a consulté ton profil”.
• 14 applications Facebook uniques, en moyenne. (apps.facebook.com/app_uniq)
• 1.411.743 clics collectés (selon les services de raccourcissement d’URL)
• Pic de diffusion de chaque URL atteint au bout de 34 heures.
27

28. 6 . Les changements à venir
28

29. Septembre 2011 a vu de multiples changements sur Facebook. Au moment
où les nouvelles fonctions augmentent les interactions entre utilisateurs,
les problèmes de confidentialité et de sécurité ont atteint de nouvelles
dimensions. Il existe au moins cinq nouvelles voies ouvertes aux attaquants :
1 . Les smart Lists (listes automatiques d’amis) vont
pousser les utilisateurs à partager plus d’informations
publiquement apportant ainsi de nouvelles munitions
pour des attaques ciblées .
La liste intelligente encourage les utilisateurs à compléter leur profil en
indiquant leur emploi, leurs études et leurs projets professionnels. À chaque
fois que quelqu’un crée une liste de collègues issus d’un emploi donné,
cela apparaît dans son profil. En général, il ne s’agit pas d’informations
confidentielles et les utilisateurs peuvent accepter ou non ces informations.
Cependant, rendre ces informations publiques et indexables facilite
l’élaboration d’attaques ciblées de haut niveau . Les attaquants savent
exactement qui travaille dans une entreprise donnée, leur poste et, plus
important encore, sur quel projet ils travaillent. Rappelons que le réseau
compte 800 millions d’utilisateurs.
2 . avec les abonnés, le nombre de spambots pourrait
augmenter, exactement comme sur twitter . Fig. 20 – Tagguer des personnes dans
Smart Lists
La principale différence entre les attaques sur Facebook et celles sur
Twitter est que Facebook a de nombreux comptes piratés alors que Twitter
est envahi de spambots. Avec la nouvelle fonctionnalité “Subscribers”,
Facebook ouvre la voie aux spambots et aux arnaques pour “obtenir plus
de subscribers”. Copier les fonctionnalités de Twitter peut également se
traduire par l’importation de ses arnaques de type scams.
29

30. 3 . tout ce que vous avez un jour partagé sur Facebook
est désormais disponible et facile à consulter .
Tout ce que vous avez partagé sur Facebook est désormais disponible et Compte tenu de la durée de vie limitée des applications de spam, cela
facile d’accès. La “Timeline” est une révolution en termes de convivialité pourrait accroître considérablement leur efficacité. Bien sûr, la fonctionnalité
mais elle signifie également que notre vie ‘complète’ devient publique. Si vient d’être lancée, et cela pourra prendre quelque temps avant que les
l’utilisateur ne modifie pas les paramètres par défaut afin de limiter l’accès à scammeurs ne l’exploitent. Mais toutes les fonctionnalités virales réussies
son mur, son histoire sera visible par tous : amis, photos, endroits où il est ont finalement été exploitées par les scammeurs des média sociaux.
allé, relations et plus encore. Cette option était déjà disponible mais n’était
pas si simple d’utilisation auparavant.
4 . La santé est devenue sociale . . . et publique .
La “Timeline” de Facebook considère que la santé est un sujet public. Il
est désormais facile de partager des informations liées à sa santé comme
une fracture, une opération chirurgicale ou une maladie. L’aspect le plus
dérangeant ici est que ces informations sont considérées par défaut comme
étant “publiques”. Fig. 21 – Ajouter un événement médical
5 . Widgets . . . une invitation aux arnaques interactives
Facebook introduit le concept de “widget” dans sa nouvelle “Timeline”. Cela
permet aux développeurs d’agir sur plusieurs objets et place l’interaction
à un niveau totalement différent. Jusqu’à présent, les personnes ayant
une application d’installée interagissaient avec leurs amis à l’intérieur de
l’application. Celle-ci se trouve désormais sur le mur de l’utilisateur, ce qui
signifie que toute personne interagissant avec le profil utilisateur interagit Fig. 22 – Publier un événement médical,
avec l’application. paramétré sur Public par défaut
30

31. 7 . conclusions
31

32. Si l’on réfléchit à la nature des menaces analysées dans ce document, il est
possible d’affirmer que la plupart des attaques reprennent les mécanismes
viraux. Quand un nouveau procédé de ce type apparaît ou est identifié,
les cybercriminels l’exploitent. C’est la raison pour laquelle les nouvelles
modifications annoncées par Facebook, qui vont rendre la présence
d’applications et leur fonctionnement très visibles dans le profil des utilisateurs,
permettront aux arnaques sociales d’atteindre des niveaux d’efficacité
inégalés .
Si l’on examine les arnaques utilisant des URL raccourcies détectées par
Bitdefender Safego, d’après les statistiques fournies par les services de
raccourcissement d’URL, plus de 15 % des clics obtenus par des applications
malveillantes ont été effectuées sur la version mobile de Facebook (m.facebook.
com). Un scénario courant de vol de données est celui d’applications, ludiques
ou même utilitaires, réclamant des autorisations supplémentaires de manière
à avoir accès aux données personnelles de l’utilisateur. Dans le domaine
social, l’avenir s’annonce sous le signe du malware et de la manipulation, ce
qui signifie convaincre les gens de “s’infecter” eux-mêmes, en installant des
applications qui accomplissent leur mission “en l’arrière plan”.
32

33. 8 . règles à suivre
33

34. Voici un ensemble des règles à observer pour la configuration générale et une Les chercheurs ont également découvert que Facebook pouvait suivre votre
utilisation sécurisée des réseaux sociaux. activité en ligne à partir de n’importe site web possédant le bouton “J’aime”,
même si vous ne cliquez pas dessus.
Une manière plus cohérente de protéger son intimité est d’utiliser la fonction
a . Politique du mot de passe “Effacer les données de navigation” de navigateurs comme Google Chrome
ou Mozilla Firefox, qui suppriment les cookies quand vous avez fermé le
Utilisez un mot de passe solide pour les comptes sur réseaux sociaux.
navigateur .
L’utilisation d’un même mot de passe pour plusieurs comptes augmente les
risques. Une fois le mot de passe dérobé, l’attaquant peut avoir accès à tous
les comptes associés.
c . utilisez des connexions cryptées
Créez des mots de passe de 12 caractères en mélangeant majuscules et Naviguez toujours sur le réseau social au moyen d’une connexion sécurisée
minuscules, sans utiliser de noms usuels ni de marque, est un minimum. (le préfixe “https” dans le navigateur). Revenez à la navigation sécurisée tout
de suite après avoir accédé à un contenu sur des pages ne possédant pas le
Ne conservez pas le mot de passe dans le navigateur d’un appareil portable support SSL. Ne passez jamais en mode non sécurisé quand vous êtes sur
de manière à ce que, en cas de vol, l’appareil en question ne puisse permettre un réseau ouvert/non sécurisé .
un accès non autorisé au compte de votre réseau social. Si vous ne pouvez
pas l’éviter, cryptez votre système de fichiers et protégez votre système avec
un mot de passe.
d. Activez toutes les notifications de connexion
Facebook vous permet de recevoir des notifications par e-mail ou SMS à
b . supprimez les cookies après déconnexion chaque fois que quelqu’un se connecte à votre compte à partir d’un nouvel
appareil. Ceci vous aide à déceler plus rapidement toute activité suspecte
La plupart des sites web utilisent des cookies pour traquer l’activité en ligne des pouvant s’exercer sur votre compte.
utilisateurs . Et Facebook les utilise pour traquer votre activité même lorsque
vous n’êtes pas connecté. Il vous est conseillé de supprimer les cookies si
vous souhaitez naviguer en toute sécurité .
34

35. e . soyez prêt en cas de détournement de compte g . sélectionnez avec discernement quelles
Si votre compte est piraté, il vous sera demandé de fournir un ensemble informations vous publiez
d’informations de vérification pour en reprendre le contrôle. Concernant la
Il est difficile de supprimer complètement une information une fois qu’elle a été
vérification, il est judicieux d’associer à votre compte un numéro de téléphone.
publiée en ligne. Sur le web, des robots analysent en permanence le contenu
Vous devez cependant garder présent à l’esprit qu’il est très facile de pirater mis en ligne et le multiplie de façon incontrôlable. Avant de poster un contenu
un compte de réseau social en cas de vol du téléphone sur lequel le compte en ligne, évaluez attentivement ses conséquences éventuelles en termes de
est paramétré. C’est pourquoi la connexion à partir d’un téléphone portable légalité ou de réputation.
ne devrait pas être automatique, et le téléphone devrait se verrouiller
automatiquement .
f . Protégez vos informations
Si vous développez une application qui collecte et stocke les données privées
d’utilisateurs, assurez-vous que ces informations soient cryptées en utilisant
un algorithme puissant. N’oubliez pas de protéger correctement la clé API et
le secret de vos applications. Si vous utilisez des formulaires pour obtenir des
informations de la part de vos utilisateurs, assurez-vous que les informations
sont transférées vers vos serveurs par l’intermédiaire d’une connexion
sécurisée .
35

36. Avertissement
Les informations et les données exposées dans ce document reflètent le point de vue de Bitdefender® sur les sujets abordés au moment de sa rédaction. Ce document et les informations
qu’il contient ne peuvent en aucun cas être interprétés comme un engagement ou un contrat de quelque nature que ce soit.
Bien que toutes les précautions aient été prises dans l’élaboration de ce document, l’éditeur, les auteurs et les collaborateurs dénient toute responsabilité pour erreurs et/ou omissions
éventuelles. Pas plus qu’ils n’assument une responsabilité quelconque pour des dommages consécutifs à l’utilisation des informations qu’il contient. De plus, les informations contenues
dans ce document sont susceptibles d’être modifiées sans avertissement préalable. Bitdefender, l’éditeur, les auteurs et les collaborateurs ne peuvent garantir la poursuite de la diffusion
de ce type d’informations ni d’éventuels correctifs.
Ce document et les données qu’il contient sont publiés à titre purement informatif. Bitdefender, l’éditeur, les auteurs et les collaborateurs ne donnent aucune garantie expresse, implicite ou
légale relatives aux informations publiées dans ce document.
Le contenu de ce document peut ne pas être adapté à toutes les situations. Si une assistance professionnelle est nécessaire, les services d’une personne compétente doivent être sollicités.
Ni Bitdefender, ni les éditeurs du document, ni les auteurs ni les collaborateurs ne peuvent être tenus pour responsables des préjudices pouvant résulter d’une telle consultation.
Le fait qu’une personne ou une organisation, un travail individuel ou collectif, y compris des textes imprimés, des documents électroniques, des sites web, etc., soient mentionnés dans
ce document en tant que référence et/ou source d’information actuelle ou future, ne signifie pas que Bitdefender, l’éditeur du document, les auteurs ou les collaborateurs avalisent les
informations ou les recommandations que peuvent fournir la personne, l’organisation, les travaux individuels ou collectifs, y compris les textes imprimés, les documents électroniques, les
sites web, etc.
Les lecteurs doivent également savoir que Bitdefender, l’éditeur du document, les auteurs ou les collaborateurs ne peuvent garantir l’exactitude d’aucune des informations données dans
ce document au-delà de sa date de publication, y compris, mais non exclusivement, les adresses web et les liens Internet indiqués dans ce document, qui peuvent avoir changé ou disparu
entre le moment où ce travail a été écrit et publié et le moment où il est lu.
Les lecteurs ont la responsabilité pleine et entière de se conformer à toutes les lois internationales applicables au copyright émanant de ce document. Les droits relevant du copyright restant
applicables, aucune partie de ce document ne peut être reproduite, mise en mémoire ou introduite dans un système de sauvegarde, ni transmise sous aucune forme ni par aucun moyen
(électronique physique, reprographique, d’enregistrement, ou autres procédés), ni pour quelque but que ce soit, sans l’autorisation expresse écrite de Bitdefender.
Bitdefender peut posséder des brevets, des brevets déposés, des marques, des droits d’auteur, ou d’autres droits de propriété intellectuelle se rapportant au contenu de ce document. Sauf
accord express de Bitdefender inscrit dans un contrat de licence, ce document ne donne aucun droit sur ces brevets, marques, copyrights, ou autre droit de propriété intellectuelle.
Copyright © 2011 Bitdefender. Tous droits réservés.
Tous les autres noms de produits ou d’entreprises mentionnés dans ce document le sont à titre purement informatif et sont et restent la propriété de, et peuvent être des marques de, leurs
propriétaires respectifs.