Sur 800 millions d'"amis" de Facebook, tous ne sont pas forcément très honnêtes. Grande popularité et réservoir incroyable d'utilisateurs obligent, "la manière dont les informations sont échangées et/ou protégées dans ce type d'environnement est devenue l'un des principaux enjeux de la sécurité des données", explique l'éditeur de solutions de sécurité BitDefender, qui a publié cette semaine un livre blanc sur les arnaques les plus répandues sur Facebook.

"LES MENACES SOCIALES DU NET"

Selon l'éditeur d'antivirus, les escrocs se basent essentiellement sur la curiosité des internautes et jouent sur le "capital confiance" qu'ils accordent à leurs contacts. Sachant qu'un utilisateur compte en moyenne 130 "amis" sur le réseau social, les utilisateurs malveillants s'assurent d'une diffusion exponentielle de leurs arnaques. Leurs escroqueries utilisent principalement quatre types d'attaques :

• Le détournement du bouton "J'aime" ou "like-jacking"

Un lien, le plus souvent vidéo, au titre racoleur et un clic suffisent. A son insu, l'utilisateur découvre par le biais d'un message sur son mur qu'il a "aimé" le contenu de ce dernier. En réalité, un script Java a installé un bouton "J'aime" invisible sous le lien "voir la vidéo". Cette arnaque bénéficie d'une portée d'autant plus importante que Facebook a amélioré la dimension virale du bouton "like", en lui conférant une dimension semblable à celle de la fonction "partager". En d'autres termes, tous les "J'aime" d'un internaute s'affichent désormais sur son mur avec une vignette et une brève description, crédibilisant d'autant plus le lien. Bitdefender estime, dans une large fourchette, que le "like-jacking" rapporte 20 à 200 000 euros par jour en recettes publicitaires.

• Le détournement de photos ou "tag-jacking"

Reposant sur le même principe que le détournement du bouton "J'aime", ce procédé exploite l'outil de taggage d'images fourni par la plateforme sociale. Là encore, l'internaute est incité à cliquer sur un lien renvoyant essentiellement vers un contenu vidéo. La victime va découvrir ensuite qu'une photo a été ajoutée à sa galerie et que tous ses "amis" ont été taggués sur celle-ci. Rien de tel pour attiser la curiosité de ses contacts, qui cliqueront à leur tour sur le lien, contaminant à leur tour leurs "amis"… "Le phénomène du détournement des tags est basé sur un mécanisme de diffusion extrêmement infectieux, qui permet d'assurer une plus large audience au message", souligne le rapport.

• Les fausses applications

Cette technique appâte les internautes en leur faisant miroiter un service séduisant dans l'optique de récupérer leurs données personnelles. Exemple : la fausse application "Découvre qui a consulté ton profil", lancée en janvier dernier. Une escroquerie qui a été largement relayée sur les pages Facebook des internautes, enregistrant… 1 411 743 clics. "Les appâts qui reposent sur le même sujet sont conçus pour déclencher les réactions émotionnelles recherchées et concerner une grande quantité de cibles", souligne le livre blanc. Une des déclinaisons du procédé des fausses applications est le détournement d'événements ou "event-jacking". Cette arnaque consiste en la création d'un faux événement pour inciter les utilisateurs à cliquer et disséminer une application nuisible.

• Les fausses notifications d'administration de page

Dans ce cas, les escrocs créent une fausse page de fan et y insèrent un onglet customisé. "Pour promouvoir la page, les arnaqueurs ajouteront de nombreux utilisateurs sur Facebook en tant qu'administrateurs de la page malveillante. Quand les utilisateurs sont désignés comme tels, ils reçoivent un e-mail leur notifiant leur 'nouveau statut social'. A la réception de cette notification, les utilisateurs, attisés par la curiosité, cliqueront sur le lien parce qu'ils ne connaissent pas cette page ou ils ne se souviennent pas avoir déjà pris part à cette création de fanpage. Quand ils atterrissent ensuite sur la fausse page Facebook, ils sont redirigés vers une page malveillante", détaille BitDefender.

Une fois que les pirates se sont assurés d'une audience conséquente, il peuvent remplacer un "contenu inoffensif au départ par des éléments malveillants", met en garde le rapport. Le message automatique visible sur le mur Facebook de l'internaute devient alors un véritable danger pour lui et ses contacts (publicités non sollicitées, récupération de données, etc.).

LE B.A.-BA DES RÈGLES DE PROTECTION

"Les nouvelles modifications annoncées par le réseau social vont rendre la présence d'applications et leur fonctionnement très visibles dans le profil des utilisateurs, permettront aux arnaques sociales d'atteindre des niveaux d'efficacité inégalés", souligne le rapport. Heureusement, quelques règles simples permettent de réduire les risques d'arnaques.

Elément clé, le mot de passe est le premier rempart des données privées sur Internet. L'éditeur d'antivirus recommande la création d'un mot de passe complexe : 12 caractères, mélangeant majuscules et minuscules, "sans utiliser de noms usuels ni de marque, est un minimum". Il est également conseillé de ne pas conserver de mots de passe en mémoire dans les navigateurs d'un téléphone ou d'un ordinateur portable pour se prémunir d'un accès non souhaité au compte du réseau social en cas de vol. Autre précaution utile : supprimer les cookies. L'effacement des données de navigation, proposée par tous les navigateurs Internet, permet d'améliorer la protection de sa vie privée.

Facebook offre également un outil pour déceler une activité suspecte sur son profil : la notification de connexion. Ce service informe l'internaute par e-mail ou SMS lorsque quelqu'un se connecte à son compte via un nouvel appareil.

Pour ne pas fournir, à son corps défendant, des informations aux escrocs potentiels, il est récommandé d'être prudent sur le nombre d'informations rendues publiques. Mais un des moyens les plus efficaces de se protéger reste de sélectionner avec attention les informations publiées : de nombreuses tentatives d'escroquerie s'appuient en effet sur des éléments biographiques pour inciter l'internaute à envoyer de l'argent à un soi-disant proche, le plus souvent en mauvaise posture, à l'autre bout du monde.

BitDefender souligne que les nouvelles fonctionnalités annoncées par la plateforme sociale lors de la conférence Facebook F8, comme les "listes intelligentes" et surtout la Timeline – une page proche de celle d'un blog, regroupant à la fois des images, des messages et des applications, par ordre antéchronologique, année par année – offrent la possibilité d'en apprendre beaucoup sur une personne d'un seul coup d'œil. Une innovation positive en termes d'interactions, mais qui constitue une manne potentielle pour des escrocs qui peuvent y trouver aisément des informations détaillées sur un individu.

Fin octobre, Facebook estimait que des centaines de milliers de profils étaient piratés chaque jour. Sur plus d'un milliard de connections quotidiennes au site, 600 000 sont des imposteurs qui tentent d'accéder aux messages, aux photos ou au contenu personnel des utilisateurs.

L'équipe de France pouvait craindre le pire, vendredi à Kiev, lors du tirage au sort des phases de groupe de l'Euro 2012. Mais Zinedine Zidane et les autres anciennes gloires du football européen ont eu la main plutôt heureuse : les Bleus tombent dans le groupe D en compagnie de l'Ukraine, de la Suède et de l'Angleterre. La France disputera son premier match le 11 juin à Donetsk face à l'Angleterre, puis jouera le 15 juin face à l'Ukraine avant d'affronter la Suède le 19.

Le groupe le plus relevé, que la France redoutait en raison de sa place dans le chapeau 4, sera composé des Pays-Bas, de l'Allemagne, du Portugal et du Danemark. Dans le groupe A, le pays organisateur, la Pologne, retrouvera la Russie, la Grèce et la République tchèque. Enfin, le groupe C mettra aux prises l'Espagne, l'Italie, la Croatie et l'Irlande. A noter que le match d'ouverture opposera la Pologne à la Grèce le 8 juin au Stade national de Varsovie.

Laurent Blanc peut donc souffler un peu. L'équipe de France n'affrontera pas en poule les deux favoris de la compétition, l'Espagne et l'Allemagne, ni le troisième épouvantail, les Pays-Bas. Avec l'Angleterre, la sélection tricolore fait même figure de favorite du groupe, un statut qu'elle a toujours eu du mal à assumer. Face aux Anglais, qui seront privés de Wayne Rooney, suspendu pour les 3 premiers matchs, les Bleus affichent un bilan intéressant, et vierge de toute défaite depuis 1997. Et tout le monde garde le souvenir du précédent affrontement à l'Euro 2004 entre les deux nations, qui avait vu Zinedine Zidane, encore lui, offrir la victoire aux siens en inscrivant deux buts dans les dernières minutes.

PRUDENCE, PRUDENCE...

L'Ukraine a eu la chance de se retrouver dans le premier chapeau uniquement grâce à son statut de pays organisateur (avec la Pologne). Car sportivement, rien ne justifie sa présence parmi les têtes de série en compagnie des champions du monde et d'Europe espagnols et des Néerlandais, finalistes du Mondial 2010. Le spectre d'une élimination sans gloire au premier tour, comme pour les deux co-organisateurs de 2008, l'Autriche et la Suisse, hante ainsi les esprits ukrainiens. La sélection ukrainienne est dénuée de vedettes, hormis le déclinant Andrei Shevchenko. Les Bleus avaient d'ailleurs eu un petit aperçu des lacunes de leurs futurs hôtes en les dominant assez facilement sur leurs terres lors de leur tournée en Europe de l'Est en juin (4-1 en Ukraine).

Quand on évoque la sélection suédoise, il est difficile de ne pas penser immédiatement à Zlatan Ibrahimovic. La star de l'AC Milan a connu une histoire mouvementée avec son équipe nationale et a annoncé à plusieurs reprises sa retraite internationale avant, chaque fois, de se raviser. Mais sans "Ibra", auteur de 2 des 3 buts de la Suède à l'Euro 2008, les Nordiques seraient obligés de laisser leurs maigres prétentions aux vestiaires, seul le milieu lyonnais Källström évoluant dans un club huppé. Pour l'Angleterre, cet Euro sera sans doute la dernière occasion pour Fabio Capello d'offrir un trophée international qui manque à l'Angleterre depuis 1966. Quelques jeunes commencent à pointer le bout de leur nez (Welbeck, Wilshire, Sturridge, Hart...) aux côtés des inusables Terry, Gerrard, Lampard, Cole.

Mais le bilan des Français en tournoi international incite à la plus grande prudence. Lors de l'Euro 2008 et du Mondial 2010, les Bleus avaient pris la porte dès le premier tour, avec chaque fois un bilan famélique de 1 point (un nul et deux défaites, un but inscrit en trois matchs). La dernière victoire française dans ces compétitions remonte donc à 2006, en demi-finale du Mondial contre le Portugal... La qualification pour les quarts de finale, avec un affrontement en vue contre l'un des deux premiers du groupe de l'Espagne et de l'Italie, devrait donc être l'objectif affiché de Laurent Blanc, qui espère que ses troupes sauront prendre la mesure des sommets continentaux.

Composition des groupes pour l'Euro 2012 (8 juin-1^er juillet) :

Groupe A : Pologne, Grèce, Russie, République tchèque
Groupe B : Pays-Bas, Danemark, Allemagne, Portugal
Groupe C : Espagne, Italie, Eire, Croatie
Groupe D : Ukraine, Suède, France, Angleterre

C'est un dossier de plus de cent pages, complet et très référencé, qu'ont reçu les principaux fournisseurs d'accès à Internet (FAI) et moteurs de recherche français. Publiée par PC inpact (PDF), l'assignation transmise à ces entreprises par trois syndicats de la vidéo détaille, pas à pas, le plan de lutte de l'industrie cinématographique contre les sites de streaming illégal. Un système qui pourrait aussi s'adapter à d'autres types de sites.

Car si la plainte des trois syndicats ne vise, initialement, que les quatre annuaires de liens de la galaxie Allostreaming, elle demande la mise en place d'un système de traitement des infractions à la propriété intellectuelle généralisable qui, s'il était mis en place, aboutirait à établir un outil de contrôle de l'accès aux sites, qu'ils soient ou non hébergés en France.

Un double blocage des sites. Les plaignants demandent aux FAI de procéder à un double blocage des quatre sites sur lesquels se concentre l'assignation : un blocage dit DNS et un blocage de l'adresse IP (Internet Protocol). Les DNS, ou Domain Name Servers, sont des machines qui sont au cœur du fonctionnement d'Internet : ce sont elles qui indiquent aux navigateurs Internet à quelle adresse informatique correspond une adresse "en clair". Par exemple, lorsque l'internaute se connecte à "http://www.lemonde.fr", sa demande est interprétée par un DNS, qui la traduit en adresse IP et permet à l'ordinateur d'afficher la page demandée.

Il est possible de contourner ce type de blocages aisément :   plutôt que de saisir "lemonde.fr", l'internaute peut directement écrire l'adresse IP du site, 94.127.75.170 par exemple.   Les ayants droit demandent donc, "s'il était établi que la fréquentation des sites 'Allostreaming' ne s'en trouverait pas pour autant réduite à un niveau symbolique", d'ordonner le blocage direct de l'adresse IP de ces sites. Dans ces conditions, le contournement du blocage reste possible, mais est plus compliqué.

Un déréférencement des moteurs de recherche. Les syndicats professionnels ont toutefois envisagé une deuxième étape pour limiter encore davantage l'accès aux sites visés par la plainte : obtenir leur déréférencement des moteurs de recherche. Ils souhaiteraient idéalement pouvoir imposer aux FAI de bloquer les outils de contournement, comme OpenDNS ou Google DNS ; mais dans le cas où cela s'avèrerait impossible "pour des motifs juridiques", ils demandent que les moteurs de recherche déréférencent les sites visés par la plainte.

Pour cela, les plaignants demandent à Google, Yahoo! et Microsoft de "prendre toutes les mesures nécessaires" pour que les sites Allostreaming n'apparaissent plus dans leurs résultats de recherche, non seulement pour les résultats des domaines français (Google.fr, Bing.fr), mais aussi dans l'ensemble de leurs déclinaisons (Google.de, Bing.com…). Cette dernière demande a de fortes chances d'être contestée à plusieurs niveaux ; par le passé, les décisions de justice imposant des blocages de contenus se sont en général limitées à un domaine local.

L'assignation révèle également que Google, tout en contestant la légitimité juridique d'une première demande transmise par les trois syndicats cet été, a procédé au déréférencement des quatre sites Allostreaming dans son moteur de recherche. Seuls des sites au nom proche apparaissent aujourd'hui dans les résultats de recherche.

Un système de mise à jour automatisé. Surtout, et c'est là la principale originalité parmi les demandes des trois syndicats, ces derniers proposent la mise en place d'un système semi-automatisé de l'évolution des sites – et donc des blocages qui seraient mis en place. Un tel système permettrait d'éviter que les sites bloqués changent d'adresse IP ou de nom et échappent ainsi à un éventuel blocage. "Les risques d'évolution des situations constatées (...), la nécessité de prévenir tout effet secondaire indésirable prévisible, tel qu'un surblocage injustifié, ont conduit les demandeurs à missionner l'Alpa et TMG pour mettre au point, dans les limites du possible (…) un processus de vérification et de suivi des adressses IP et DNS."

Avec le concours de l'Association de lutte contre la piraterie audiovisuelle et TMG, le prestataire de très nombreux ayants droit déjà chargé de collecter et de transmettre les adresses de téléchargeurs présumés à la Hadopi, les plaignants ont donc mis au point un système de suivi, décrit succinctement dans l'assignation publiée par PC Inpact. "Un dispositif logiciel a été mis au point pour permettre d'effectuer un suivi permanent et en temps réel des sites, de leurs adresses IP et de leurs noms de domaine, pour signaler et traiter tout changement pouvant intervenir postérieurement à la décision judiciaire de blocage d'accès et de dé-référencement", précise le document. L'outil prévoit également "une intervention humaine (...) pour vérifier une situation signalée par le dispositif logiciel".

Le système décrit ne s'appliquerait, selon les demandes des plaignants, qu'aux sites qui ont déjà fait l'objet d'une décision judiciaire de blocage. Toutefois, le dispositif prévoit qu'en cas d'"apparition de sites nouveaux qui ne constituent que la copie de ceux dont l'accès a été bloqué", ceux-ci pourront être bloqués sans nouvelle décision de justice, après la validation d'un agent assermenté.

"Aucune des trois mesures n'est efficace à 100 % (…). Mais plus le contournement sera difficile, moins d'internautes y auront recours", note le document dans ses conclusions. Le texte évoque également une possible adaptation à d'autres types de diffusion en ligne, sans préciser lesquels ; mais le système décrit pourrait également s'adapter à des annuaires de liens BitTorrent, par exemple. Pour les ayants droit, il s'agit d'un ensemble de "mesures raisonnables et peu susceptibles de provoquer des dommages collatéraux". Une analyse que ne partageront vraisemblablement pas les FAI et les moteurs de recherche cités à comparaître le 15 décembre.

L'Assemblée nationale a voté, vendredi 2 décembre, la prolongation de trois à dix ans du délai de prescription sur les avoirs non déclarés détenus à l'étranger, que le pays soit un paradis fiscal ou non, entre autres mesures sur la lutte contre l'évasion et la fraude fiscale proposées par le gouvernement.

Cette mesure avait déjà été prise en 2008 pour les seuls paradis fiscaux mais certaines conventions signées par la France ont permis à des pays de sortir de la liste des paradis fiscaux "sur le papier" sans "garantir [une] coopération effective" avec eux, avait expliqué jeudi 24 novembre la ministre du budget, Valérie Pécresse.

Rallonger de sept ans le délai de prescription quel que soit le pays où sont placés les avoirs non déclarés doit "permettre à l'administration fiscale d'avoir toujours le temps pour allié, et non plus pour ennemi", avait-elle ajouté.

L'objectif est ainsi de conserver son plein effet à la "police fiscale" nouvellement créée. Le rapporteur général du budget, Gilles Carrez (UMP), a jugé "extrêmement important de porter ce délai de trois à dix ans parce que les montages, qui souvent passent par l'étranger, peuvent être très complexes et qu'il faut que l'administration fiscale ait suffisamment de temps pour les décortiquer".

CONTRÔLES DANS LES BUREAUX DE POSTE

La France va ainsi se rapprocher du droit fiscal existant aux Etats-Unis ou au Royaume-Uni, a-t-il précisé.

Les agents des douanes pourront aussi désormais mener des contrôles dans les bureaux de poste sédentaires ou ambulants, y compris les salles de tri et locaux des entreprises assurant l'acheminement des plis et colis, en vertu d'un amendement gouvernemental également adopté lors de l'examen du projet de loi de finances rectificatives 2011.

Cette mesure vise notamment à permettre la saisie de cigarettes commandées sur Internet et acheminées par voie postale ou fret express.

Depuis 2007, la lutte contre la fraude fiscale a permis à l'Etat français de récupérer 50 milliards d'euros de droits et de pénalités dont 16 milliards en 2010, a affirmé la semaine dernière la ministre du budget.