Sur 800 millions d'"amis" de Facebook, tous ne sont pas forcément très honnêtes. Grande popularité et réservoir incroyable d'utilisateurs obligent, "la manière dont les informations sont échangées et/ou protégées dans ce type d'environnement est devenue l'un des principaux enjeux de la sécurité des données", explique l'éditeur de solutions de sécurité BitDefender, qui a publié cette semaine un livre blanc sur les arnaques les plus répandues sur Facebook.

"LES MENACES SOCIALES DU NET"

Selon l'éditeur d'antivirus, les escrocs se basent essentiellement sur la curiosité des internautes et jouent sur le "capital confiance" qu'ils accordent à leurs contacts. Sachant qu'un utilisateur compte en moyenne 130 "amis" sur le réseau social, les utilisateurs malveillants s'assurent d'une diffusion exponentielle de leurs arnaques. Leurs escroqueries utilisent principalement quatre types d'attaques :

• Le détournement du bouton "J'aime" ou "like-jacking"

Un lien, le plus souvent vidéo, au titre racoleur et un clic suffisent. A son insu, l'utilisateur découvre par le biais d'un message sur son mur qu'il a "aimé" le contenu de ce dernier. En réalité, un script Java a installé un bouton "J'aime" invisible sous le lien "voir la vidéo". Cette arnaque bénéficie d'une portée d'autant plus importante que Facebook a amélioré la dimension virale du bouton "like", en lui conférant une dimension semblable à celle de la fonction "partager". En d'autres termes, tous les "J'aime" d'un internaute s'affichent désormais sur son mur avec une vignette et une brève description, crédibilisant d'autant plus le lien. Bitdefender estime, dans une large fourchette, que le "like-jacking" rapporte 20 à 200 000 euros par jour en recettes publicitaires.

• Le détournement de photos ou "tag-jacking"

Reposant sur le même principe que le détournement du bouton "J'aime", ce procédé exploite l'outil de taggage d'images fourni par la plateforme sociale. Là encore, l'internaute est incité à cliquer sur un lien renvoyant essentiellement vers un contenu vidéo. La victime va découvrir ensuite qu'une photo a été ajoutée à sa galerie et que tous ses "amis" ont été taggués sur celle-ci. Rien de tel pour attiser la curiosité de ses contacts, qui cliqueront à leur tour sur le lien, contaminant à leur tour leurs "amis"… "Le phénomène du détournement des tags est basé sur un mécanisme de diffusion extrêmement infectieux, qui permet d'assurer une plus large audience au message", souligne le rapport.

• Les fausses applications

Cette technique appâte les internautes en leur faisant miroiter un service séduisant dans l'optique de récupérer leurs données personnelles. Exemple : la fausse application "Découvre qui a consulté ton profil", lancée en janvier dernier. Une escroquerie qui a été largement relayée sur les pages Facebook des internautes, enregistrant… 1 411 743 clics. "Les appâts qui reposent sur le même sujet sont conçus pour déclencher les réactions émotionnelles recherchées et concerner une grande quantité de cibles", souligne le livre blanc. Une des déclinaisons du procédé des fausses applications est le détournement d'événements ou "event-jacking". Cette arnaque consiste en la création d'un faux événement pour inciter les utilisateurs à cliquer et disséminer une application nuisible.

• Les fausses notifications d'administration de page

Dans ce cas, les escrocs créent une fausse page de fan et y insèrent un onglet customisé. "Pour promouvoir la page, les arnaqueurs ajouteront de nombreux utilisateurs sur Facebook en tant qu'administrateurs de la page malveillante. Quand les utilisateurs sont désignés comme tels, ils reçoivent un e-mail leur notifiant leur 'nouveau statut social'. A la réception de cette notification, les utilisateurs, attisés par la curiosité, cliqueront sur le lien parce qu'ils ne connaissent pas cette page ou ils ne se souviennent pas avoir déjà pris part à cette création de fanpage. Quand ils atterrissent ensuite sur la fausse page Facebook, ils sont redirigés vers une page malveillante", détaille BitDefender.

Une fois que les pirates se sont assurés d'une audience conséquente, il peuvent remplacer un "contenu inoffensif au départ par des éléments malveillants", met en garde le rapport. Le message automatique visible sur le mur Facebook de l'internaute devient alors un véritable danger pour lui et ses contacts (publicités non sollicitées, récupération de données, etc.).

LE B.A.-BA DES RÈGLES DE PROTECTION

"Les nouvelles modifications annoncées par le réseau social vont rendre la présence d'applications et leur fonctionnement très visibles dans le profil des utilisateurs, permettront aux arnaques sociales d'atteindre des niveaux d'efficacité inégalés", souligne le rapport. Heureusement, quelques règles simples permettent de réduire les risques d'arnaques.

Elément clé, le mot de passe est le premier rempart des données privées sur Internet. L'éditeur d'antivirus recommande la création d'un mot de passe complexe : 12 caractères, mélangeant majuscules et minuscules, "sans utiliser de noms usuels ni de marque, est un minimum". Il est également conseillé de ne pas conserver de mots de passe en mémoire dans les navigateurs d'un téléphone ou d'un ordinateur portable pour se prémunir d'un accès non souhaité au compte du réseau social en cas de vol. Autre précaution utile : supprimer les cookies. L'effacement des données de navigation, proposée par tous les navigateurs Internet, permet d'améliorer la protection de sa vie privée.

Facebook offre également un outil pour déceler une activité suspecte sur son profil : la notification de connexion. Ce service informe l'internaute par e-mail ou SMS lorsque quelqu'un se connecte à son compte via un nouvel appareil.

Pour ne pas fournir, à son corps défendant, des informations aux escrocs potentiels, il est récommandé d'être prudent sur le nombre d'informations rendues publiques. Mais un des moyens les plus efficaces de se protéger reste de sélectionner avec attention les informations publiées : de nombreuses tentatives d'escroquerie s'appuient en effet sur des éléments biographiques pour inciter l'internaute à envoyer de l'argent à un soi-disant proche, le plus souvent en mauvaise posture, à l'autre bout du monde.

BitDefender souligne que les nouvelles fonctionnalités annoncées par la plateforme sociale lors de la conférence Facebook F8, comme les "listes intelligentes" et surtout la Timeline – une page proche de celle d'un blog, regroupant à la fois des images, des messages et des applications, par ordre antéchronologique, année par année – offrent la possibilité d'en apprendre beaucoup sur une personne d'un seul coup d'œil. Une innovation positive en termes d'interactions, mais qui constitue une manne potentielle pour des escrocs qui peuvent y trouver aisément des informations détaillées sur un individu.

Fin octobre, Facebook estimait que des centaines de milliers de profils étaient piratés chaque jour. Sur plus d'un milliard de connections quotidiennes au site, 600 000 sont des imposteurs qui tentent d'accéder aux messages, aux photos ou au contenu personnel des utilisateurs.

C'est un dossier de plus de cent pages, complet et très référencé, qu'ont reçu les principaux fournisseurs d'accès à Internet (FAI) et moteurs de recherche français. Publiée par PC inpact (PDF), l'assignation transmise à ces entreprises par trois syndicats de la vidéo détaille, pas à pas, le plan de lutte de l'industrie cinématographique contre les sites de streaming illégal. Un système qui pourrait aussi s'adapter à d'autres types de sites.

Car si la plainte des trois syndicats ne vise, initialement, que les quatre annuaires de liens de la galaxie Allostreaming, elle demande la mise en place d'un système de traitement des infractions à la propriété intellectuelle généralisable qui, s'il était mis en place, aboutirait à établir un outil de contrôle de l'accès aux sites, qu'ils soient ou non hébergés en France.

Un double blocage des sites. Les plaignants demandent aux FAI de procéder à un double blocage des quatre sites sur lesquels se concentre l'assignation : un blocage dit DNS et un blocage de l'adresse IP (Internet Protocol). Les DNS, ou Domain Name Servers, sont des machines qui sont au cœur du fonctionnement d'Internet : ce sont elles qui indiquent aux navigateurs Internet à quelle adresse informatique correspond une adresse "en clair". Par exemple, lorsque l'internaute se connecte à "http://www.lemonde.fr", sa demande est interprétée par un DNS, qui la traduit en adresse IP et permet à l'ordinateur d'afficher la page demandée.

Il est possible de contourner ce type de blocages aisément :   plutôt que de saisir "lemonde.fr", l'internaute peut directement écrire l'adresse IP du site, 94.127.75.170 par exemple.   Les ayants droit demandent donc, "s'il était établi que la fréquentation des sites 'Allostreaming' ne s'en trouverait pas pour autant réduite à un niveau symbolique", d'ordonner le blocage direct de l'adresse IP de ces sites. Dans ces conditions, le contournement du blocage reste possible, mais est plus compliqué.

Un déréférencement des moteurs de recherche. Les syndicats professionnels ont toutefois envisagé une deuxième étape pour limiter encore davantage l'accès aux sites visés par la plainte : obtenir leur déréférencement des moteurs de recherche. Ils souhaiteraient idéalement pouvoir imposer aux FAI de bloquer les outils de contournement, comme OpenDNS ou Google DNS ; mais dans le cas où cela s'avèrerait impossible "pour des motifs juridiques", ils demandent que les moteurs de recherche déréférencent les sites visés par la plainte.

Pour cela, les plaignants demandent à Google, Yahoo! et Microsoft de "prendre toutes les mesures nécessaires" pour que les sites Allostreaming n'apparaissent plus dans leurs résultats de recherche, non seulement pour les résultats des domaines français (Google.fr, Bing.fr), mais aussi dans l'ensemble de leurs déclinaisons (Google.de, Bing.com…). Cette dernière demande a de fortes chances d'être contestée à plusieurs niveaux ; par le passé, les décisions de justice imposant des blocages de contenus se sont en général limitées à un domaine local.

L'assignation révèle également que Google, tout en contestant la légitimité juridique d'une première demande transmise par les trois syndicats cet été, a procédé au déréférencement des quatre sites Allostreaming dans son moteur de recherche. Seuls des sites au nom proche apparaissent aujourd'hui dans les résultats de recherche.

Un système de mise à jour automatisé. Surtout, et c'est là la principale originalité parmi les demandes des trois syndicats, ces derniers proposent la mise en place d'un système semi-automatisé de l'évolution des sites – et donc des blocages qui seraient mis en place. Un tel système permettrait d'éviter que les sites bloqués changent d'adresse IP ou de nom et échappent ainsi à un éventuel blocage. "Les risques d'évolution des situations constatées (...), la nécessité de prévenir tout effet secondaire indésirable prévisible, tel qu'un surblocage injustifié, ont conduit les demandeurs à missionner l'Alpa et TMG pour mettre au point, dans les limites du possible (…) un processus de vérification et de suivi des adressses IP et DNS."

Avec le concours de l'Association de lutte contre la piraterie audiovisuelle et TMG, le prestataire de très nombreux ayants droit déjà chargé de collecter et de transmettre les adresses de téléchargeurs présumés à la Hadopi, les plaignants ont donc mis au point un système de suivi, décrit succinctement dans l'assignation publiée par PC Inpact. "Un dispositif logiciel a été mis au point pour permettre d'effectuer un suivi permanent et en temps réel des sites, de leurs adresses IP et de leurs noms de domaine, pour signaler et traiter tout changement pouvant intervenir postérieurement à la décision judiciaire de blocage d'accès et de dé-référencement", précise le document. L'outil prévoit également "une intervention humaine (...) pour vérifier une situation signalée par le dispositif logiciel".

Le système décrit ne s'appliquerait, selon les demandes des plaignants, qu'aux sites qui ont déjà fait l'objet d'une décision judiciaire de blocage. Toutefois, le dispositif prévoit qu'en cas d'"apparition de sites nouveaux qui ne constituent que la copie de ceux dont l'accès a été bloqué", ceux-ci pourront être bloqués sans nouvelle décision de justice, après la validation d'un agent assermenté.

"Aucune des trois mesures n'est efficace à 100 % (…). Mais plus le contournement sera difficile, moins d'internautes y auront recours", note le document dans ses conclusions. Le texte évoque également une possible adaptation à d'autres types de diffusion en ligne, sans préciser lesquels ; mais le système décrit pourrait également s'adapter à des annuaires de liens BitTorrent, par exemple. Pour les ayants droit, il s'agit d'un ensemble de "mesures raisonnables et peu susceptibles de provoquer des dommages collatéraux". Une analyse que ne partageront vraisemblablement pas les FAI et les moteurs de recherche cités à comparaître le 15 décembre.