Les identifiants d’un million d’utilisateurs Facebook compromis

Les chercheurs en sécurité de Meta ont identifié plus de 400 applications mobiles conçues pour voler les informations de connexion à Facebook de leurs utilisateurs. En pratique, pour pouvoir se servir de ces apps, les victimes doivent s’y connecter avec leurs identifiants Facebook. Une fois ces données saisies, elles partent directement dans la poche des pirates qui peuvent alors s’en servir pour usurper l’identité des utilisateurs, par exemple pour mener des campagnes d’hameçonnage.

Plus de 400 applications identifiées

Les applications se déguisent en services « utiles ou amusants » comme des éditeurs d’images, des services VPN, du suivi des entraînements pour le sport ou encore des apps caméras. David Agranovich, directeur de la sécurité de Meta, relève que les apps identifiés sont à peine fonctionnelles. « De nombreuses apps ne fournissent que peu ou pas de fonctions avant de se connecter, et la plupart ne fournissent aucune fonction même après la connexion », a-t-il détaillé.

La plupart de ces applications malveillantes était distribué dans le Play Store de Google. 47 l’étaient sur l’App Store d’Apple, mais contrairement à Android, ces apps cherchaient à tromper des utilisateurs professionnels de Facebook. Elles portent en effet des noms comme « Meta Business », « FB Analytic » ou encore « Ads Business Knowledge ».

Les deux boutiques ont confirmé le retrait des applications incriminées. Un porte-parole de Google a expliqué que « toutes les apps identifiées [par Meta] ne sont plus disponibles sur le Play Store. Les utilisateurs sont aussi protégés par Google Play Protect, qui bloque ces apps sur Android ».

Il n’y a malheureusement pas vraiment de solution pour éviter le vol d’identifiants Facebook, en particulier lorsqu’il se déroule dans des apps téléchargées depuis les boutiques officielles.

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.