Sécurite & réseaux sociaux – Le clickjacking sur Facebook expliqué en images

3
108

Le “clickjacking”, c’est ce fléau qui sévit sur Facebook et poste en votre nom des messages indésirables. Les chercheurs des Laboratoires de Bitdefender en France vous expliquent tout ce que vous devez savoir sur cette pratique malveillante.

Qu’est-ce que le « clickjacking » ?

Le clickjacking sur Facebook est un moyen de partager en votre nom un lien, généralement malveillant. Le principe est simple : un de vos amis vient de publier une vidéo sur Facebook, au contenu étrange et accrocheur. Cette vidéo comporte généralement un titre et une image de présentation « chocs », avec du sexe ou de la violence.

Plutôt bizarre, mais comme c’est un de vos amis qui l’a posté, cela vous semble être une source a priori sûre : vous cliquez…

clickjack1

Note pour plus tard, en plus du lien le post comprend un code, en l’occurrence 27809.

Vous avez donc tenté l’aventure ! Et la machine infernale ne fait que commencer : au clic, un script silencieux géolocalise la connexion. Puis, suite à la géolocalisation, une fausse page Youtube s’affiche dans la langue détectée précédemment et demande une vérification pour que vous puissiez visionner la vidéo.

clickjack3

On aperçoit sur la capture ci-dessus que le contenu de la boîte de dialogue est en fait celui d’un commentaire Facebook, très bien masqué. D’ailleurs, avant de regarder la vidéo, il faut saisir un code. 27809… cela ne vous rappelle rien ?

Chaque tentative sera différente, puisque le script intègre un faux « captcha » à partir d’un nombre généré aléatoirement… Quant au champ où l’on doit saisir le code, il est relatif au système « Facebook Connect ».

Ainsi, « envoyer le code » publiera sur votre propre profil Facebook le lien de l’arnaque (et sera donc visible par vos amis), et affichera ce fameux code. En parallèle, dès que vous aurez cliqué sur le bouton « submit », de nombreuses fenêtres publicitaires y compris des versions des plus douteuses se lanceront, dont vous aurez d’ailleurs bien du mal à vous débarrasser par la suite.

clickjack6

clickjack7

clickjack8

Dans cet exemple, il n’y a pas eu d’infection, mais le contenu des publicités peut changer à tout moment et de ce fait intégrer ultérieurement des e-menaces. Quoiqu’il en soit, le principal danger réside dans l’utilisation des informations demandées (numéro de téléphone, nom d’utilisateur, confirmation d’un mot de passe, etc.).

Certaines images accompagnant ces arnaques peuvent aussi tout simplement nuire à votre e-reputation. Avez-vous vraiment envie que l’on connaisse votre engouement pour « ce qu’a fait cette fille de 15 ans chaque jour à l’école» ?

Comment se protéger contre ce type de menaces ?

·         Une vigilance accrue est bien sûr de mise lorsque vous êtes connecté à votre compte Facebook. Les tentatives de vol de compte  et de données sont légion et les arnaques sont toujours plus efficaces lorsqu’elles proviennent d’une « personne de confiance » (vos amis, ou vous, la première victime du clickjacking).

·         Une fois l’arnaque présente sur le réseau, il y a des moyens de détecter des erreurs et de remettre en cause la fiabilité d’un lien :

o   Les pirates n’ont pas nécessairement des diplômes en traduction, et leur français laisse souvent à désirer. Dans ce cas présent, « l’école haute » est une mauvaise traduction de « highschool », qui signifie « lycée » en anglais.

o   Le message prétend être une vidéo, mais Facebook ne l’identifie pas en tant que tel :

clickjack10

Vous êtes maintenant paré pour contrecarrer de futures arnaques : alertez vos amis pour éviter toute propagation de ces arnaques !

Cet article a été rédigé par David Sygula avec le concours des Malwares Analysts des Laboratoires Bitdefender en France.

Source originale : BitDefender France

3 Commentaires

  1. Bonjour Sylvain,

    Pour savoir si vous avez été victime de clickjacking, c’est très simple : ce procédé est instantané, vous verrez aussitôt sur votre profil une vidéo ou un lien que vous n’avez pas volontairement publié.

    Le clickjacking ne permet en revanche pas de publier un lien tout seul, plus tard. Tant que vous faites attention où vous cliquez, vous ne serez pas ennuyé 😉

  2. Bonjours et merci des explications sur les Clickjackings,

    C’est bien beau tout ca mais ca n explique pas comment vérifier si a un moment donné on a déja été infectés. Ca explique seulement comment etre vigilant…..

    Donc comment sait on si on a déjà été clickjacker. Je pense que ca serait important de l ajouter dans le texte des explications.

    c était mon commentaire pour le reste merci beaucoup c est tres instructif

    Bonne continuité
    sylvain guimont

Les commentaires sont fermés.