Facebook retire le widget qui piégeait ses utilisateurs
Le réseaux social a interdit le widget « Secret Crush » qui véhiculait un spyware sous couvert de déclaration d'amour.
Source site 01.Net
|
Le réseau social Facebook a finalement décidé de désactiver le widget « Secret Crush ». Celui-ci promettait de vous révéler le nom de celui ou celle qui se consumait d'un amour secret pour vous. Le widget en profitait pour vous faire installer un logiciel espion, après vous avoir demandé de l'envoyer à cinq de vos contacts.
Au moment de la découverte de ce widget malicieux, l'éditeur du réseau social déclinait toute responsabilité vis-à-vis des applications tierces et invitait les utilisateurs à vérifier par eux-mêmes leur qualité avant de les installer.
Depuis lors, selon CNET, Facebook a supprimé « Secret Crush » de la liste des widgets disponibles et en a informé la communauté des développeurs Facebook. « Secret Crush » ne fera donc plus de victimes...
Première publication le 4 janvier 2008
Les utilisateurs de Facebook victimes d'un nouveau type d'attaque
Pour la première fois, un widget, « Secret Crush », a permis de diffuser un logiciel espion parmi les adhérents du réseau social. Une pratique qui va s'amplifier et qui menace aussi les entreprises.
N'aimeriez-vous pas savoir qui, parmi vos connaissances, est rongé par un amour secret pour
vous ? Peut-être que oui. En tous cas, c'est que qu'ont voulu savoir les nombreux utilisateurs du widget malicieux « Secret Crush » sur Facebook. Découvert par l'éditeur Fortinet, cette application incite
d'abord la victime à recruter cinq nouveaux utilisateurs, avant de lui proposer le téléchargement d'un logiciel qui abrite un spyware. Une fois installé, difficile de s'en débarrasser.
De l'argent facile
« C'est la première fois qu'un widget est utilisé pour diffuser un logiciel
malveillant sur Facebook. Le développeur de cette application est un affilié de Zango, un fournisseur connu de logiciels espions. Pour chaque téléchargement, il reçoit quelques cents, ce qui peut
se transformer rapidement en beaucoup d'argent sur des réseaux sociaux », explique Guillaume Lovet, responsable de l'équipe antivirus chez
Fortinet.
Selon l'éditeur, Secret Crush
a réussi à capter en peu de temps près de 3 % des utilisateurs de Facebook, ce qui représente plus d'un million de personnes. Si une personne sur dix a
installé le logiciel, le créateur de Secret Crush a donc pu gagner plusieurs milliers de dollars.
Il est très probable que ce type de menaces va se généraliser en 2008 et toucher les
réseaux sociaux à vocation professionnelle comme LinkedIn ou Viadeo. Basé sur la collaboration et le partage d'application (mash-up),
le Web 2.0 est un vecteur de diffusion particulièrement efficace pour les pirates informatiques, car il multiplie les possibilités de connexions.
Facebook est une cible de choix à plusieurs titres : c'est l'un des réseaux les plus
larges et il permet d'intégrer facilement des applications tierces. En plus, les utilisateurs sur Facebook se côtoient sous leurs véritables identités, ce qui intéresse particulièrement les
spammeurs et autres fournisseurs de logiciels publicitaires (adware). « Toute utilisation de
widgets sous Facebook présente un risque, car ces applications accèdent automatiquement à l'ensemble des données personnelles », précise
Guillaume Lovet.
Miser sur la prévention
Pour les entreprises, le risque est loin d'être négligeable, vu le nombre d'employés qui
utilisent quotidiennement ce type de sites au bureau, que ce soit pour une utilisation personnelle ou professionnelle. Comment se prémunir ? Bloquer l'accès à ces sites est une méthode
brutale et difficilement envisageable. « Nous préconisons l'éducation des utilisateurs et l'utilisation de solutions de sécurité préventives,
comme la réputation de sites Web, qui permettent de bloquer l'accès avant qu'un logiciel malveillant ne passe », explique Sébastien Commérot,
responsable marketing Europe du Sud chez IronPort, une division de Cisco Systems.
Du coté de Facebook, on s'en lave les mains. Le réseau social décline toute responsabilité
liée aux applications tierces et ne souhaite pas particulièrement vérifier leur qualité ou leur contenu. A mesure que les menaces s'intensifieront, cette politique sera peut-être amenée à
changer.
Commenter cet article