Un message : « ça te ressemble…💔 », suivi d’un lien. Ce phishing à l’apparence simple se répand à grande vitesse dans les messages privés de Facebook Messenger, et accélère sa diffusion à chaque nouvelle victime.

Suite à l’appel à témoignage de notre article du vendredi 12 mars, nos lecteurs nous ont envoyé des dizaines de liens de cette étrange campagne de phishing. Grâce à ces précieux exemples, nous avons pu tirer plusieurs conclusions sur son fonctionnement.

Si les différents phishing se ressemblent sur la forme, avec le même message, ils n’ont pas tous la même destination : il pourrait donc exister d’autres cas de figure que nous n’avons pas encore observés.

Image d'erreur

Un exemple du phishing en circulation. // Source : Capture d’écran Numerama.

Que veulent les malfaiteurs ?

L’écrasante majorité des liens de phishings renvoient vers une fausse page de connexion à Facebook, qui demande de renseigner adresse email et mot de passe. Les malfrats essaient vraisemblablement de collecter des identifiants à Facebook, qu’ils vendront ensuite en lot sur des forums plus ou moins obscurs. Les acheteurs de ces identifiants auront eux-mêmes un autre projet malveillant en tête. C’est pourquoi si vous avez communiqué vos informations, vous devriez changer votre mot de passe, et activer la double authentification si ce n’est pas déjà fait.

Image d'erreur

La page d’identification comporte plusieurs signaux d’alerte. // Source : Capture d’écran Numerama

Si on observe la fausse page de connexion de plus près, plusieurs détails permettent de révéler la supercherie. Ils seront, comme souvent, plus visibles sur ordinateur que sur smartphone  :

  • L’adresse du site : ce n’est pas facebook.com ou un de ses sous-domaines. Autrement dit, le site n’appartient pas au groupe Facebook, ce qui signifie qu’une autre organisation ou personne est derrière la page. Ce détail est d’autant plus facile à relever que les noms de domaines utilisés par les malfrats n’ont aucune cohérence. Sur la capture d’écran, par exemple, « https://vivacious-valuable-puck[.]glitch[.]me », parait louche de façon évidente.
  • Les phishings utilisent l’ancienne charte graphique de Facebook, alors que la nouvelle version du site est déployée depuis plus ou moins un an selon les utilisateurs.
  • La traduction des boutons n’est pas correcte : le bouton « connexion » devient «  commencer la session ».
  • Le texte au-dessus du module de connexion contient des fautes de grammaire : « Facebook doit vérifier les informations de votre compte pour vérifier l`acces a cette video » (sic).

Mais comme dans chaque arnaque, il suffit d’un concours de circonstances pour baisser sa garde et passer outre les signaux d’alerte. « J’étais au boulot, le message venait de ma cousine, je n’étais pas concentré », rouspète encore Baptiste*. « Je me suis fait avoir alors que je suis plutôt au fait de ce genre de choses, mais je n’ai pas été attentif à cause du contexte ». A posteriori, toutes les victimes du phishing nous font part de leur désarroi de s’être fait piéger par ce phishing en apparence évident. Mais le fait que le lien soit envoyé par une personne proche lui donne une vraie puissance : les victimes auront tendance à transférer au lien la confiance qu’ils accordent à leur proche, et à baisser leur garde. D’ailleurs, dans les témoignages que nous avons reçus, les internautes ont souvent décelé l’arnaque parce qu’elle était envoyée par un « ami » Facebook avec qui elles n’avaient plus échangé depuis plusieurs mois, voire années.

Pour Matthieu Dierick, expert en cybersécurité des applications chez F5, le simple fait d’avoir à rentrer ses identifiants devrait sonner d’alerte : « Aujourd’hui tous nos appareils enregistrent les sessions sur un temps très long, que ce soit pour les applications de loisirs comme Facebook ou même pour des applications professionnelles. Résultat, nous n’avons presque plus à nous authentifier. La situation où on nous demande de renseigner à nouveau les identifiants est donc rare, et il faut toujours se demander pourquoi cette demande existe. La réponse, le plus souvent, est qu’il s’agit d’un phishing. »

Un phishing vers un phishing

Mais le phishing ne s’arrête pas à la fausse connexion. Si la cible rentre ses identifiants, elle sera redirigée… vers une autre arnaque. Nous avons trouvé de nombreuses pages qui imitent Amazon, ou bien de faux jeux-concours aux couleurs de Lidl, ou encore un service de VPN. Ce dernier reprend exactement le même cheminement que le phishing diffusé sur Signal le mois dernier. Les malfaiteurs espèrent faire croire à leurs cibles qu’elles jouent — et remportent — un jeu-concours pour un iPhone. Sauf que pour recevoir ce produit, il leur faudra « payer une livraison », un prétexte pour récupérer leurs données bancaires.

Image d'erreur

Le phishing Facebook en cache un autre. // Source : Capture d’écran Numerama.

Ce second phishing pourrait avoir un effet positif pour les victimes : elles devraient être surprises d’aboutir sur ce genre de page après s’être connectées à Facebook, et comprendre qu’elles sont tombées dans un phishing. Elles pourront ainsi changer leur mot de passe avant que quiconque ne mette la main sur leur compte.

« Ces phishings sont heureusement assez basiques. Il existe des versions bien plus intelligentes, qui seraient d’autant plus dangereuses » met en garde Matthieu Dierick. Des techniques simples permettent de faire aboutir l’utilisateur sur la vraie page du site auquel il pensait se connecter, et il pensera simplement qu’il a rentré le mauvais mot de passe. D’autres, plus complexe iront jusqu’à vraiment le connecter au site, de sorte qu’il ne puisse même pas déceler qu’il a mordu à un phishing.

Comment le phishing se répand-il aussi vite ?

Si la récente vague de phishing fait tant parler, c’est parce qu’elle est particulièrement virale. Certains témoins ont reçu 4 versions différentes de l’arnaque dans leurs messages privés en l’espace de 2 jours. D’autres, qui ont cliqué sur le lien, nous expliquent qu’ils ont dû supprimer un à un les messages de phishings envoyés à plusieurs centaines de leurs contacts depuis leur compte.

Facebook n’en est pas à sa première vague de phishing virale, loin de là. L’an dernier par exemple, un autre phishing Messenger faisait parler de lui, avec la même construction, mais une phrase différente : « C’est toi dans cette vidéo ? ». « Ces phishings exploitent une faille connue depuis 10 ans, dont on a vu les premiers cas d’abus dès 2010  », diagnostique Matthieu Dierick. Dans le jargon, ce bug entre dans la catégorie des « cross site scripting » ou XSS.

Comme les fausses publicités Ray-ban

Concrètement, les malfrats détournent l’usage d’outils de Facebook, les API, pour faire exécuter du code par la personne qui reçoit le message. « Le piège se déclenche dès que la personne va cliquer sur le lien », nous explique l’expert en sécurité des applications. Le subterfuge permet de faire croire que la commande destinée à envoyer le message de phishing à tous les contacts provient de l’utilisateur, et non du malfaiteur. Et pour cause : les API de Facebook vont recevoir le script depuis le navigateur de la victime, et ils vont donc s’exécuter en son nom, sans identifier que ce n’est pas elle qui a écrit la commande.

Avec cette technique, les hackers se servent du compte de la victime pour relayer leurs phishings, sans pourtant en prendre le contrôle. Autrement dit, pas besoin pour la victime de changer son mot de passe, puisqu’il n’y a pas d’intrusion sur son compte. D’après nos tests, ce fonctionnement ne concerne pas tous les liens, et il faudrait pouvoir les analyser au cas par cas.

Pour l’anecdote, c’est ce même genre de vulnérabilité qui permettait, au début des années 2010, de diffuser de fausses publicités pour des Ray-Ban à prix cassés, précise Matthieu Dierick. Vous avez dû voir passer sur ce genre d’arnaque sur les murs de publications de certains de vos amis Facebook à l’époque, et la récente campagne de phishing n’en est qu’un dérivé moderne.

une comparateur meilleur gestionnaire mdp numerama

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.